De Praktische Implementatie van de Meldplicht Datalekken in het Onderwijs
Onderzoek naar het implementeren van de meldingsprocedure voor de
Meldplicht Datalekken in de onderwijssector
Auteur: C.J.C van Hemert
Begeleider: dr.ir. E. Poll
Master Scriptie Information Sciences
Radboud Universiteit Nijmegen Februari 2017
1
Samenvatting In deze scriptie wordt verslag gedaan van onderzoek naar de implementatie van de Meldplicht
Datalekken. De Meldplicht Datalekken is een nieuwe toevoeging op de Wet Bescherming
Persoonsgegevens die per 1 januari 2016 in werking is getreden. De Meldplicht Datalekken houdt in
dat organisaties in geval van een datalek verplicht zijn om een melding te maken aan de Autoriteit
Persoonsgegevens en eventueel de betrokkenen. In deze scriptie wordt er gekeken naar hoe
onderwijsinstellingen de implementatie van een interne meldingsprocedure voor de Meldplicht
Datalekken hebben aangepakt. Er wordt kort een overzicht gegeven van de geschiedenis van de
Meldplicht Datalekken en zijn verhouding tot andere meldplichten. Verder wordt de implementatie
van de Meldplicht Datalekken vanaf drie perspectieven benaderd. Ten eerste wordt in een
incidentenanalyse van berichten uit de media de huidige praktijk geschetst. Als tweede geeft een
analyse van het meldformulier weer over welke informatie organisaties moeten beschikken om een
melding te kunnen maken aan de AP. Het derde perspectief geeft een reeks van interviews met
organisaties een beeld van hoe de procedure voor melden intern geïmplementeerd is in die
organisaties.
Uit het eerste perspectief blijkt dat er te weinig gedetailleerde data is om een goede
incidentenanalyse te maken. Uit het tweede perspectief blijkt dat verandering van het webformulier
verwarring op kan leveren. Ook geeft het openbare webformulier mogelijkheid tot valse meldingen.
Het derde perspectief laat zien dat de bestaande bedrijfsstructuren erg van invloed zijn op de
inrichting van de procedure voor de Meldplicht Datalekken. Er zijn grote verschillen in de procedures
die niet in alle gevallen volledig zijn. Ook is er behoefte aan meer duidelijkheid vanuit AP. Zo is er
meer behoefte aan voorbeelden en feedback na een melding aan de AP. Grote verschillen in het
aantal meldingen per instelling komt waarschijnlijk door dat datalekken bij sommige instellingen niet
gedetecteerd worden en/of omdat de beslissing om wel of niet te melden afwijkt per instelling.
Dankwoord Allereerst wil ik graag Erik Poll bedanken voor de begeleiding tijdens het schrijven van deze scriptie.
Verder wil ik Erik Barendsen, Simone, Albert en Thijs bedanken voor alle steun. Verder wil ik Mireille
Hildebrandt bedanken.
Verder wil ik graag alle instellingen en de mensen waarmee ik gesproken heb bedanken voor hun tijd
en openheid tijdens de interviews.
2
Inhoudsopgave Samenvatting .......................................................................................................................................... 1
Dankwoord .............................................................................................................................................. 1
Inhoudsopgave ........................................................................................................................................ 2
Lijst met termen ...................................................................................................................................... 6
1 Introductie ...................................................................................................................................... 7
2 Verwant onderzoek ....................................................................................................................... 10
3 Gegevensbeschermingswetgeving als context ............................................................................. 12
3.1 Achtergrond van de Europese gegevensbeschermingswetgeving ....................................... 12
3.1.1 Grondrecht op Privacy en het recht op gegevensbescherming .................................... 12
3.1.2 OECD richtlijnen ............................................................................................................ 13
3.1.3 Tijdlijn van wetgeving rond gegevensbescherming ...................................................... 14
3.2 Europese wetgeving .............................................................................................................. 15
3.2.1 Richtlijn vs. Verordening ............................................................................................... 15
3.2.2 Europese Data Protectie Richtlijn - Richtlijn 95/46/EC - 1995 ...................................... 15
3.2.3 e-Privacy richtlijn - Richtlijn 2002/58/EC - 2002 ........................................................... 16
3.2.4 Algemene Verordening Gegevensbescherming (verordening 2016/679) .................... 16
3.3 De Nederlandse Wet Bescherming Persoonsgegevens ........................................................ 17
3.3.1 Definitie van persoonsgegevens en betrokkene ........................................................... 17
3.3.2 Verantwoordelijke vs. Bewerker: .................................................................................. 18
3.3.3 Verwerken van persoonsgegevens: .............................................................................. 19
3.3.4 Beveiligingsmaatregelen ............................................................................................... 20
4 Meldplicht Datalekken art. 34a WBP ............................................................................................ 21
4.1 De Meldplicht Datalekken ..................................................................................................... 21
4.1.1 Aanleiding en Doelen .................................................................................................... 21
4.2 Voorwaardes voor de melding aan AP en betrokkene ......................................................... 22
4.2.1 Inbreuk op de beveiligingsmaatregelen ........................................................................ 23
4.2.2 Ernstige nadelige gevolgen ........................................................................................... 24
4.3 Verantwoordelijkheid voor de meldingen ............................................................................ 25
4.4 Melding aan de AP ................................................................................................................ 25
4.5 Melding aan de betrokkene .................................................................................................. 25
4.6 Handhaving en Boetebepalingen .......................................................................................... 26
4.7 Verplichting register datalekken ........................................................................................... 27
5 Vergelijking met andere meldplichten .......................................................................................... 28
3
5.1 Korte situatieschets .............................................................................................................. 28
5.2 Telecommunicatiewet .......................................................................................................... 29
5.3 Wet op Financieel toezicht ................................................................................................... 31
5.4 Algemene Verordening Gegevensbescherming ................................................................... 33
5.5 Meldplichten buiten de EU ................................................................................................... 34
5.5.1 Meldplichten datalekken in de V.S. .............................................................................. 34
6 Analyse statistiek en incidenten ................................................................................................... 36
6.1 Statistieken voor meldingen ................................................................................................. 36
6.2 Incidenten in de Nederlandse pers ....................................................................................... 37
6.2.1 In het onderwijs ............................................................................................................ 37
6.2.2 Overige incidenten ........................................................................................................ 37
7 Analyse Meldingsformulier ........................................................................................................... 40
7.1 Inlog webformulier ............................................................................................................... 40
7.2 Wijzigen van een melding ..................................................................................................... 41
7.3 Verandering van het formulier ............................................................................................. 41
7.4 Verplichte vakken.................................................................................................................. 42
8 Interviews ...................................................................................................................................... 43
8.1 Interview opzet ..................................................................................................................... 43
8.2 Interview voorbereiding ....................................................................................................... 43
8.2.1 Vooraf gevonden/gekregen .......................................................................................... 43
8.2.2 Geïnterviewde en geheimhouding ............................................................................... 43
8.3 Interview resultaten .............................................................................................................. 45
8.3.1 Ondersteunende organisaties ....................................................................................... 46
8.3.2 Tijdlijn van de implementatie van de Meldplicht Datalekken. ..................................... 46
8.3.3 Bewerkersovereenkomsten .......................................................................................... 47
8.3.4 Beleidsregels Meldplicht Datalekken van de AP ........................................................... 48
8.3.5 Aantal meldingen aan de AP en de aard van de melding ............................................. 48
8.3.6 De interne meldingsprocedure. .................................................................................... 50
8.3.7 Verschillende rollen ...................................................................................................... 55
8.3.8 Meldingstermijn van 72 uur .......................................................................................... 56
8.3.9 Meldingsformulier voor melding aan de AP ................................................................. 57
8.3.10 Contact AP ..................................................................................................................... 58
8.3.11 Bewustzijn voor datalekken .......................................................................................... 59
8.3.12 Aandacht voor beveiliging door de Meldplicht Datalekken .......................................... 59
4
8.3.13 Bijhouden van register met datalekken ........................................................................ 60
8.3.14 Reputatie vs. Boete ....................................................................................................... 60
8.3.15 Grootste uitdagingen .................................................................................................... 60
8.3.16 Overig ............................................................................................................................ 61
9 Conclusies ..................................................................................................................................... 62
9.1 Conclusies van de analyse statistiek en incidenten .............................................................. 62
9.2 Conclusies uit de analyse van het meldingsformulier .......................................................... 63
9.3 Conclusies uit de interviews ................................................................................................. 63
9.3.1 De interne meldingsprocedure ..................................................................................... 63
9.3.2 Contact AP ..................................................................................................................... 64
9.3.3 Aantal meldingen aan de AP en welke soort ................................................................ 64
9.3.4 Reputatie vs. Boete ....................................................................................................... 65
9.3.5 Meldingstermijn van 72 uur voor melden aan de AP ................................................... 65
9.3.6 Verschillende rollen ...................................................................................................... 65
9.3.7 Tijdlijn van de implementatie van de Meldplicht Datalekken ...................................... 66
9.3.8 Bewerkersovereenkomsten .......................................................................................... 66
9.3.9 Beleidsregels Meldplicht Datalekken ............................................................................ 66
9.3.10 Bewustzijn voor datalekken .......................................................................................... 66
9.3.11 Aandacht voor beveiliging door de Meldplicht Datalekken .......................................... 66
9.3.12 Grootste uitdagingen .................................................................................................... 67
9.3.13 Ondersteunende organisaties ....................................................................................... 67
10 Vragen voor verder onderzoek ..................................................................................................... 68
10.1 Onderwerpen voor vervolg interviews ................................................................................. 68
10.2 Verder onderzoek naar de interne meldingsprocedure ....................................................... 69
10.3 Gevolgen van de Meldplicht Datalekken .............................................................................. 69
10.4 Verder onderzoek rond de AP............................................................................................... 70
10.5 Overig .................................................................................................................................... 71
Lijst met tabellen en Figuren ................................................................................................................ 72
Tabellen ............................................................................................................................................. 72
Figuren .............................................................................................................................................. 72
Appendix ............................................................................................................................................... 73
Appendix A: Meldingsformulier beleidsregels .................................................................................. 73
Appendix B: Meldingsformulier web ................................................................................................ 77
Appendix C: Interview ....................................................................................................................... 82
5
Appendix D: uitwerking procedures instellingen .............................................................................. 84
6
Lijst met termen
1 Art 1a Regeling jaarverslaggeving onderwijs http://wetten.overheid.nl/BWBR0023132/2016-12-24
ACM Autoriteit Consument en Markt. De ACM is een fusie van de
Consumentenautoriteit, de OPTA en de Nederlandse
Mededingingsautoriteit.
AP Autoriteit Persoonsgegevens. Voorheen College Bescherming
Persoonsgegevens (CBP)
AVG Algemene Verordening Gegevensbescherming. Nieuwe Europese
wetgeving die ingaat in 2018
CERT / SERT
Computer Emergency Respons Team / Security Emergency Respons
Team.
CISO / ISO (Chief) Information Security Officer
CVB College van Bestuur
DPA Data Protection Authority. De Nederlandse DPA is de Autoriteit
Persoonsgegevens
DPD Data Protection Directive, of in het Nederlands de Europese Data
Protectie Richtlijn. De oude Europese wetgeving uit 1995. Word
vervangen door de AVG
EDPR Europese Data Protectie Richtlijn (zie sectie 3.2.2)
EDPS European Data Protection Supervisor. De EDPS is de Europese
toezichthouder op het gebied van gegevensbescherming. Een
overzicht van de doelen en taken van de EDPS staat gespecificeerd
in Richtlijn (EC) No 45/2001.
ENISA European Union Agency for Network and Information Security
FG Functionaris Gegevensbescherming. In het Engels is dit de Privacy
Officer
The Article 29 Working Party De Article 29 Working Party geeft advies op het gebied van
gegevensbescherming. Deze werkgroep bestaat uit
vertegenwoordigers van alle Europese DPA’s, de EDPS en de
Europese commissie.
Meldplicht Datalekken De toevoeging van art. 34a aan de WBP. Meldplicht Datalekken is
de officieuze benaming voor deze wijziging.
Onderwijsinstelling Zoals bedoeld in regeling jaarverslaggeving onderwijs art 1a1
OPTA Onafhankelijke Post en Telecommunicatie Autoriteit.
TW Telecommunicatiewet
WBP Wet Bescherming Persoonsgegevens. Implementatie van de EDPR
7
1 Introductie Snel ontwikkelende technologie en een steeds grotere afhankelijkheid van deze technologie en ICT
in de moderne samenleving, hebben gezorgd voor een vraag naar beter passende
gegevensbeschermingswetgeving volgens de E.U.2. De huidige Europese gegevensbescherming, de
Europese Data Protectie Richtlijn (EDPR), uit 1995 is verouderd en dekt niet meer adequaat het
gecompliceerde veld van gegevensbescherming. Doordat deze wetgeving een richtlijn is zijn er veel
verschillen qua wetgeving in de verschillende landen. 3 Dit zorgt voor verwarring en internationale
organisaties die aan verschillende, soms tegenstrijdige, wetgeving moeten voldoen. De vervanging
van de huidige gegevensbeschermingswetgeving komt in de vorm van de Algemene Verordening
Gegevensbescherming (AVG), die sinds mei 2016 bekend is en mei 2018 van kracht gaat.
Recente ontwikkelingen als de Snowden zaak en het vervallen van de ‘Safe Harbor’ wetgeving4 door
de Maximillian Schrems v Data Protection Commissioner5 zaak hebben bijgedragen aan het creëren
van draagvlak voor deze nieuwe wetgeving.
In anticipatie op deze nieuwe wetgeving is in Nederland de Meldplicht Datalekken ingesteld. Omdat
de AVG langer op zich liet wachten is besloten om deze meldplicht eerder in Nederland in te stellen.
Sinds 1 januari 2016 is deze toevoeging op de huidige Nederlandse
gegevensbeschermingswetgeving, de WBP, van kracht. De Meldplicht Datalekken houdt in dat
organisaties in geval van een datalek waarbij persoonsgegevens betrokken zijn, dit moeten melden
aan de Autoriteit Persoonsgegevens (vanaf nu AP) en in sommige gevallen ook aan de betrokkene
(diegene over wie de data iets zegt).
De Nederlandse Meldplicht Datalekken is niet de eerste meldplicht in Nederland. Een meldplicht in
de telecommunicatiewet en een meldplicht in de Wet op Financieel Toezicht bestonden al eerder.
De eerste meldplicht voor datalekken is de California Security Breach Information Act 2003, naar
aanleiding van een datalek in de salarisadministratie van de staat in 2002. Meer staten van de VS
volgden met hun eigen wetgeving. Ook elders ter wereld begon er al eerder wetgeving te ontstaan
voor het melden van datalekken (zie sectie 5.5).
Met de wijziging voor de Meldplicht Datalekken in de WBP krijgt de AP een grotere
boetebevoegdheid. Naast dat de boete gegeven kan worden voor het niet nakomen van de Wet
Bescherming Persoonsgegevens kan er dus ook een boete opgelegd worden voor het niet melden
van een datalek (zie sectie 4.6). Deze boetebevoegdheid was er voorheen ook al, maar is nu
opgeschroefd van 4500 euro naar maximaal 820.000 euro. In de aankomende AVG zal dit
boetebedrag verder stijgen. Deze stijging zal betekenen dat organisaties de wetgeving erg serieus
moeten gaan nemen.
In deze scriptie wordt er gekeken naar hoe onderwijsinstellingen de implementatie van de
Meldplicht Datalekken hebben aangepakt. Implementatie van de Meldplicht Datalekken houdt in dat
2 Commission Press Release, MEMO/15/6385 (Dec. 21, 2015) http://europa.eu/rapid/press-release_MEMO-
15-6385_en.htm 3 Commission Press Release, MEMO/15/6385 (Dec. 21, 2015) http://europa.eu/rapid/press-release_MEMO-
15-6385_en.htm 4 Article 25(6) of Directive 95/46/EC
5 Maximillian Schrems v Data Protection Commissioner,Case C-362/14
http://curia.europa.eu/juris/document/document.jsf?docid=169195&doclang=EN
8
er een procedure is ingericht die in geval van een datalek in werking treed. In die procedure worden
dan de nodige stappen voor de Meldplicht Datalekken uitgevoerd. Er zijn hiervoor drie invalshoeken
gekozen. Ten eerste wordt er gekeken naar het theoretisch kader: Welke wetgeving is er en waar
moeten organisaties aan voldoen(zie hoofdstuk 3 t/m 5). Hierbij wordt ook ingezoomd op de
melding aan de AP en welke informatie daar voor nodig is (zie hoofdstuk 7). Ten tweede wordt er
een korte analyse gemaakt van bestaande incidenten (zie hoofdstuk 6). Deze kunnen inzicht geven in
de diversiteit van datalekken en moeilijkheden bij het implementeren. Ten derde zijn diverse
instellingen geïnterviewd over de implementatie van de Meldplicht Datalekken en hoe dit proces is
verlopen (zie hoofdstuk 8).
De onderzoeksvragen die in deze scriptie aan bod komen zijn:
Wat betekent de Meldplicht Datalekken in de praktijk voor organisaties, specifiek
onderwijsinstellingen?
Meer in het bijzonder:
Aan welke juridische eisen moeten organisaties op grond van art. 34a WBP voldoen?
Wat kan daarvan het gevolgen zijn van het niet implementeren van de Meldplicht Datalekken (in
termen van datalekken, aansprakelijkheid, boetes)?
Welke incidenten zijn er voorgekomen en wat kan daaruit geleerd worden?
Welke maatregelen worden genomen om te voldoen aan de Meldplicht Datalekken?
o Hoe zien de procedures voor de Meldplicht Datalekken eruit?
o Welke keuzes zijn gemaakt in het implementeren van deze procedures en welke
factoren hebben daarin een rol gespeeld?
Bereik van het onderzoek
Het onderzoek richt zich op de ontwikkeling van procedures binnen organisaties om aan de
Meldplicht Datalekken te voldoen. Verder voldoen aan de WBP en o.a. verwerkingsgronden (zie
sectie 3.3.3) worden niet meegenomen in het onderzoek. Tevens wordt er alleen gekeken naar
datalekken zoals bedoeld in artikel 34a WBP; onrechtmatige verwerking valt hier niet onder.
Detectie van datalekken valt ook buiten het bereik van dit onderzoek, maar binnen de organisaties
signaleren ervan valt wel binnen het bereik.
In verband met de beperkte tijd is er in deze scriptie gekozen voor het bekijken van de Meldplicht
Datalekken in het onderwijs. De reden hiervoor is dat er veel contacten zijn binnen deze branche
vanuit de universiteit en de onderzoeker.
Verder richt dit onderzoek zich op de verantwoordelijke6, degene die verantwoordelijk is voor de
data, in dit geval de onderwijsinstellingen. Onderzoek naar wat de Meldplicht Datalekken voor derde
partijen in de rol van bewerker7 betekend valt buiten het bereik van deze scriptie.
Na deze introductie wordt er gekeken naar verwant onderzoek in dit veld (zie hoofdstuk 2). Daarna
wordt een beeld van de gegevensbeschermingswetgeving geschetst in hoofdstuk 3. In dit hoofdstuk
6 Zoals bedoeld in artikel 1 lid d WBP, Zie ook sectie 3.3.2
7 Zoals bedoel in artikel 1 lid e WBP, Zie ook sectie 3.3.2
9
wordt kort gekeken naar de geschiedenis van de gegevensbeschermingswetgeving ( zie sectie 3.1) en
relevante Europese (zie sectie 3.2) en Nederlandse wetgeving (zie sectie 0). In hoofdstuk 0 wordt de
Meldplicht Datalekken zelf besproken. In hoofdstuk 5 komt het verschil tussen de Meldplicht
Datalekken en diverse andere meldplichten aan bod. Hier worden kort meldplicht uit de
Telecommunicatiewet (zie sectie 5.2), de meldplicht in de Wet op Financieel toezicht (zie sectie 5.3),
de meldplicht in de aankomende AVG (zie sectie 5.4) en meldplichten in het buitenland (zie sectie
5.5) doorgenomen. In hoofdstuk 6 wordt het aantal datalekken en de informatie daarover
besproken. Ook wordt er kort aandacht besteed aan een aantal datalek incidenten in zowel het
onderwijs(6.2.1) als daarbuiten (zie sectie 6.2.2). Hoofdstuk 7 analyseert de eisen vanuit het
meldingsformulier zoals aangegeven door de AP. Hoofdstuk 8 weidt uit over de diverse interviews. In
hoofdstuk 9 worden de conclusies uit het onderzoek besproken en hoofdstuk 10 noemt
mogelijkheden voor verder onderzoek.
10
2 Verwant onderzoek In dit hoofdstuk worden diverse onderzoeken die gerelateerd zijn aan
gegevensbeschermingswetgeving besproken. Hierin zijn twee hoofdthema’s: financiële gevolgen van
de meldplichten en de effectiviteit van meldplichten.
Doordat de Meldplicht Datalekken pas sinds kort van toepassing is in Nederland is er nog weinig
onderzoek naar gedaan. Vergelijkbare wetgeving in het buitenland is al langer aanwezig (zie sectie
5.5). Onderzoek naar meldplichten in het buitenland is voornamelijk naar wat een meldplicht kost in
termen van geld en wat de impact is van een meldplicht in termen van geld. Met kosten wordt
bedoeld de kosten die gemaakt worden bij de procedure van melden e.g. gemaakte uren. Met
impact van een meldplicht wordt bedoeld de impact die het maken van een melding heeft op een
organisatie e.g. reputatieschade. Bijvoorbeeld in de V.S. zijn er al langer meldplichten in diverse
staten (zie sectie 5.5). Hierdoor is er meer onderzoek beschikbaar vanuit de V.S. Deze onderzoeken
worden gedomineerd door twee onderwerpen. Het eerste onderwerp is de financiële kosten van
een meldplicht.
Colciago et al8 schreven een uitgebreid verslag over de kosten van
gegevensbeschermingswetgeving voor klein en middelgrote bedrijven in de EU.
In zijn thesis schrijft Amerikaanse student Gangwere9 over de voornamelijk financiële impact
van het melden van een datalek binnen een bedrijf. Gangwere geeft een interessante lijst
met gerelateerde literatuur, voornamelijk ook naar andere onderzoeken naar financiële
impact.
Ponemom noemt in hun onderzoek de dat de kosten van een datalek gemiddeld rond de 4
miljoen ligt10. Tevens wordt een bedrag van 158 dollar genoemd verloren bestand. Het gaat
hierbij wel om gecombineerde kosten van zowel de kosten gemaakt bij de procedure als de
kosten in termen van reputatieschade.
Het tweede onderwerp is de effectiviteit van meldplichten. Hierbij komt het verminderen van
‘identity theft’ meerdere keren terug in onderzoeken en speelt blijkbaar een belangrijke rol in
het identificeren van de impact van een meldplicht.
Romanosky et al. (2010) 11 laat zien dat, na het implementeren van een meldplicht
datalekken en het melden van datalekken, bedrijven extra kosten en extra reputatie schade
krijgen, maar dat de vermindering in ‘identity theft’ minimaal is. In een later onderzoek
wordt bevonden dat ‘identity theft’ door datalekken verminderd is met 6,1% door de
8 Christensen, L., Colciago, A., Etro, F., & Rafert, G. (2013). The Impact of the Data Protection Regulation in the
EU. Intertic Policy Paper, Intertic. http://www.analysisgroup.com/uploadedfiles/content/insights/publishing/2013_data_protection_reg_in_eu_christensen_rafert_etal.pdf 9 Gangewere, W. (2013). Assessing the Impact of a Privacy Breach on a Firm‟ s Market Value (Doctoral
dissertation, Duquesne University). http://www.antolin-davies.com/theses/gangewere.pdf 10
Ponemom institute. (2016). 2016 Cost of Data Breach Study: Global Analysis. Geraadpleegd van: https://securityintelligence.com/media/2016-cost-data-breach-study/ 11
Romanosky, S., Acquisti, A., & Sharp, R. (2010, August). Data Breaches and Identity Theft: When is Mandatory Disclosure Optimal?. TPRC.
11
meldplichtwetgeving in de V.S.12. Wel word opgemerkt dat de wetten een positieve invloed
hebben op het verminderen van kosten voor de betrokkene, verbetering van
informatiebeveiliging en bedrijfsvoering van organisaties.
Schwartz en Janger (2007)13 waarschuwen voor een ‘boy-who-cried-wolf’ effect, waardoor
een meldplicht minder effectief word in het beschermen van de betrokkene. De betrokkene
zal de meldingen op een gegeven moment niet meer serieus nemen. Zij stellen een nieuwe
architectuur voor die met behulp van een CRA (Coordinated Response Agent) de beslissing
om te melden ondersteunt, beschermende maatregelen voor de betrokkene treft en de
inhoud van de melding aan de betrokkene controleert. Ook Cate14
In haar thesis over de effectiviteit van datalek meldplichten gebruikt Dwyer15 gegevens van
datalossDB en Privacy rights clearinghouse, beide databases met datalekken verzameld
vanuit de pers en openbare bekendmakingen. Conclusie is dat meldingsplicht een positieve
invloed heeft op het aantal meldingen. Volgens Dwyer heeft een boete ook een positieve
invloed op het aantal meldingen. Ook zou er volgens Dwyer een optimaal boetebedrag zijn.
Rond de 600000 dollar op dit moment 580.000 euro. Lager dus dan de hoogste boete die
momenteel voor de Meldplicht Datalekken staat (zie sectie 4.6)
Nieuwesteeg16 onderzocht de effectiviteit van de meldplicht door Amerikaanse data over de
meldplicht te vergelijken. Zijn conclusie is dat de meldplicht zijn doel voorbij schiet. Het
aantal meldingen in de V.S. is toegenomen, maar minimaal. In de VS lijkt de meldplicht dus
niet effectief. Nieuwesteeg vond echter wel een positief effect op awareness voor security
en de bereidheid van bedrijven om daarin te investeren. Ook heeft het een positief effect op
de samenwerking tussen bedrijven op dit gebied. Nieuwesteeg trok een vergelijking tussen
Nederland en de VS door te zeggen dat de meldplicht in Nederland ook waarschijnlijk niet
effectief gaat zijn. Om definitief te kunnen zeggen of de Meldplicht in Nederland effectief is
in Nederland vind ik dat er onderzoek gedaan zou moeten worden naar Nederlandse data.
Hoewel de Amerikaanse data een indicatie kan geven vermoed ik dat deze niet een op een
over te trekken is naar de Nederlandse en Europese samenlevingen.
12 Romanosky, S., Telang, R., & Acquisti, A. (2011). Do data breach disclosure laws reduce identity
theft?. Journal of Policy Analysis and Management, 30(2), 256-286. 13
Schwartz, Paul, and Edward Janger. 2007. "Notification of Data Security Breaches." Michigan Law Review 105: 913. 14
Fred H. Cate, ‘Information Security Breaches: Looking Back and Thinking Ahead’, The Centre of Information Policy Leadership. Hunton & Williams LLP 2008, p. 10-11 http://www.repository.law.indiana.edu/cgi/viewcontent.cgi?article=1235&context=facpub 15
Dwyer, C. E. (2014). Effectiveness of Data Breach Legislation, 2005-2012. https://repository.library.georgetown.edu/bitstream/handle/10822/709911/Dwyer_georgetown_0076M_12627.pdf?sequence=1 16
Nieuwesteeg, B. F. (2013). The legal position and societal effects of security breach notification laws (Doctoral dissertation, TU Delft, Delft University of Technology). http://repository.tudelft.nl/islandora/object/uuid:38d4fa0e-8a3a-4216-9044-e8507a60ed66/?collection=research
12
3 Gegevensbeschermingswetgeving als context In dit hoofdstuk wordt de context van de Meldplicht Datalekken uitgelegd. Een kort overzicht van
andere gegevensbeschermingswetgeving geeft een beeld van de geschiedenis en context van de
Meldplicht Datalekken. Eerst stippen we de eerste keren aan dat privacy en gegevensbescherming
voorkomen in wetgeving (zie sectie 3.1). Daarna komt de Europese wetgeving aan bod (zie sectie
3.2). Als laatste kijken we naar de Nederlandse implementatie van de Europese wetgeving (zie sectie
0). De Meldplicht Datalekken zelf wordt in hoofdstuk 4 in meer in detail besproken.
3.1 Achtergrond van de Europese gegevensbeschermingswetgeving In de jaren zeventig bleek dat door technologische ontwikkelingen het recht op privacy zoals
gevonden in artikel 8 van de Conventie van de Mensenrechten niet meer goed paste bij de huidige
manier van datagebruik. Op basis van onder andere de OECD richtlijnen is toen de Conventie 108
getekend en geratificeerd. In 1995 is de Europese Data Protectie Richtlijn tot stand gekomen (zie
3.2.3)17.
In dit hoofdstuk wordt kort het recht op privacy in verhouding tot het recht op
gegevensbescherming en de OECD richtlijnen besproken. In 3.1.3 is er een tijdlijn opgesteld om een
overzicht te geven van de verschillende wetgeving rondom gegevensbescherming.
3.1.1 Grondrecht op Privacy en het recht op gegevensbescherming
Het recht op gegevensbescherming en het recht op privacy zijn niet hetzelfde. Het recht op
gegevensbescherming is onderdeel van het recht op privacy. Het recht op privacy is als
fundamenteel recht terug te vinden in art. 12 van de Universele Verklaring van de Rechten van de
Mens, art. 8 EVRM, art. 17 IVBPR en art. 10 van de Nederlandse Grondwet.
Het recht op privacy is onder te verdelen in andere rechten. Zo noemt de grondwet bijvoorbeeld het
recht op ruimtelijke privacy als het recht op eerbiediging van de persoonlijke levenssfeer (artikel 10)
en het recht op onaantastbaarheid van het eigen lichaam (artikel 11). Het recht op
gegevensbescherming beschermt de burger tegen onrechtmatige en proportionele verwerking van
persoonsgegevens18.
Het verschil tussen het recht op privacy en het recht op gegevensbescherming is complex. Voor deze
scriptie is het belangrijk om te realiseren dat er een verschil is tussen beide termen. Ook is het
belangrijk om te begrijpen dat de Meldplicht Datalekken over het beschermen van de gegevens
tegen onrechtmatige verwerking gaat en niet om privacy bescherming.
17
Voor een uitgebreid overzicht van de geschiedenis van gegevensbescherming zie: van der Jagt, F. HOOFDSTUK 7. Het recht op bescherming van persoonsgegevens. Geraadpleegd van https://www.stibbe.com/~/media/03%20news/publications/amsterdam/friederike%20van%20der%20jagt/friederike%20van%20der%20jagt%20-%20recht%20op%20bescherming%20van%20persoonsgegevens.pdf 18 Gutwirth, S., & Hert, P. d. (2009). Data Protection in the Case Law of Strasbourg and Luxemburg:
Constitutionalisation in Action. In Y. P. Gutwirth S., Reinventing data protection (pp. 3-44). Dordrecht: Springer
Science. Geraadpleegd op: http://www.vub.ac.be/LSTS/pub/Dehert/328.pdf
13
3.1.2 OECD richtlijnen
The Organisation for Economic Co-Operation and Development (OECD) of in het Nederlands De
Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) is een samenwerkingsverband
tussen 34 landen over de hele wereld.
In 1980 heeft de OESE een privacy richtlijn opgesteld. De OECD Guidelines on the Protection of
Privacy and Transborder Flows of Personal Data biedt een lijst met acht principes die als leidraad
gebruikt kunnen worden voor de verwerking van persoonsgegevens.
Hieronder zijn de acht principes te vinden19.
1. Collection Limitation Principle
2. Data Quality Principle
3. Purpose Specification Principle
4. Use Limitation Principle
5. Security Safeguards Principle
6. Openness Principle
7. Individual Participation Principle
8. Accountability Principe
Deze acht principes staan aan de beginselen van diverse gegevensbeschemingswetgeving. Deze
principes hebben een basis gevormd voor de huidige gegevensbeschermingswetgeving. Diverse
principes zijn dan ook terug te vinden in de wetgeving. Bijvoorbeeld principe 1: Collection Limitation
Principle is duidelijk terug te vinden in de verwerkingseisen zoals te vinden in de Europese Data
Protectie Richtlijn en de WBP (zie 3.3.3).
19
Meer en uitgebreidere uitleg over de principes is te vinden op http://oecdprivacy.org
14
3.1.3 Tijdlijn van wetgeving rond gegevensbescherming
Er is veel verschillende wetgeving rondom gegevensbescherming. Hieronder staat een korte tijdlijn
om een overzicht te geven van de verschillende wetgevingen. In de rest van dit hoofdstuk wordt een
aantal relevante onderwerpen van de tijdlijn besproken.
1950 Europees Verdrag voor de Rechten van de Mens en de Fundamentele Vrijheden 20
1980 OESO richtlijnen21 (zie sectie 3.1.2)
1981 European Treaty Series - No. 108 or the Convention for -the Protection of Individuals with
regard to Automatic Processing of Personal Data. Oud artikel 286, nieuw artikel 1622
1995 Richtlijn 95/46/EC - Data Protection Directive (DPD) of de Richtlijn Gegevensbescherming
(zie sectie 3.2.22)
2000 Implementatie van de DPD door Nederland in de vorm van de Wet Bescherming
Persoonsgegevens (WBP) (zie sectie 0)
2000 Verordening (EC) No 45/2001 Verordening die de EDPS (European Data Protection
Supervisor) aanstelt en daarmee art 286 van het EC verdrag implementeert
2002 Richtlijn 2002/58/EC – e-Privacy richtlijn (zie sectie 3.2.3)
2006 Richtlijn 2006/24/EC (wijziging richtlijn 2002/58/EC ofwel e-Privacy richtlijn) – Data
Retention Directive – ongeldig verklaart door Hof van Justitie van de Europese Unie
2009 Richtlijn 2009/136/EC Richtlijn Burgerrechten (Amending - Directive 2002/58/EC) Introductie
van de meldplicht in te telecommunicatiesector23
2012 05-juni - Invoer van de meldplicht in de Telecommunicatiewet24
2012 Start van het verbeterproces van de gegevensbeschermingswetgeving in de EU
2013 Verordening 611/2013 – Meldplicht onder de e-Privacyrichtlijn/ Richtlijn 2002/58/EC
2015 WBP toevoeging Meldplicht Datalekken is in werking getreden op 01-2016 (zie hoofdstuk 4)
2016 AVG (artikel 31 en 32 over Meldplicht Datalekken) (Gaat in mei 2018) (zie sectie 3.2.44)
20
Council of Europe, European Convention for the Protection of Human Rights and Fundamental Freedoms, as
amended by Protocols Nos. 11 and 14, 4 November 1950, ETS 5, http://www.echr.coe.int/Documents/Convention_ENG.pdf 21
Annex to the Recommendation of the Council of 23rd September 1980: GUIDELINES GOVERNING THE
PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA 22
Council of Europe, Convention for the Protection of Individuals with Regard to the Automatic Processing of
Individual Data, 28 January 1981, ETS 108 http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108 23
Richtlijn burgerrechten Richtlijn 2009/136/EG, 2009 O.J. L 337/11 http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:nl:PDF 24
Besluit implementatie herziene telecommunicatierichtlijnen, stb-2012-236
https://zoek.officielebekendmakingen.nl/stb-2012-236.html
15
3.2 Europese wetgeving
3.2.1 Richtlijn vs. Verordening
Er zijn verschillende soorten Europese wetgevingen. Relevant voor deze scriptie zijn de richtlijn en de
verordening.
Een richtlijn is, zoals het woord ook al suggereert, geen bindende wetgeving. Een richtlijn is dus niet
direct toepasbaar op de Europese burger. Een Europese richtlijn geeft een lidstaat een bepaald doel
wat zij moeten bereiken. Het is dan vervolgens aan de lidstaat om zelf nationale wetgeving te
schrijven op basis van deze Europese richtlijn. Dit zorgt ervoor dat lidstaten zelf ook nog keuzes en
invloeden hebben op de wetgeving. Aan de andere kant zorgt het ook voor veel verschillende versies
van wetgeving geïnspireerd door dezelfde richtlijn. Daarom is er naast de richtlijn ook nog de
verordening.
De verordening heeft direct bindend effect op de Europese burger. Er hoeft dus niet eerst nog
nationale wetgeving gemaakt te worden.
Europees niveau Richtlijn Verordening
Nationaal niveau in lidstaten Wetgeving op basis van de
richtlijn
De Europese burger De Europese burger
3.2.2 Europese Data Protectie Richtlijn - Richtlijn 95/46/EC - 1995
In deze sectie wordt kort de richtlijn gegevensbescherming besproken. Voor de Nederlandse
implementatie van de deze richtlijn, de Wet Bescherming Persoonsgegevens, zie sectie Fout!
erwijzingsbron niet gevonden..
De Richtlijn Data Protectie25 is de Europese richtlijn voor de bescherming van persoonsgegevens. Het
doel van de richtlijn is zorgen voor gelijkere wetgeving in de E.U. en het bevorderen van het vrije
verkeer van gegevens. Doordat dit een richtlijn is moet de wetgeving eerst omgezet worden naar
25
Richtlijn 95/46/EG http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:NL:HTML
16
nationale wetgeving. In Nederland is die wetgeving de WBP (zie sectie 3.3). In de sectie over de WBP
(zie sectie 3.3) wordt de verdere inhoud van de richtlijn besproken in de vorm van de
geïmplementeerde wetgeving.
3.2.3 e-Privacy richtlijn - Richtlijn 2002/58/EC - 2002
De e-Privacy richtlijn26 breidt uit op de beginselen uit de EDPR in specifieke eisen voor de telecom
sector. De Nederlandse implementatie van de richtlijn e-Privacy is de telecommunicatiewet (TW). In
2006 is de e-Privacy richtlijn gewijzigd met de Richtlijn Dataretentie. Deze Richtlijn Dataretentie hield
in dat organisaties data moesten bewaren zodat politie en veiligheidsdiensten hier toegang tot
konden krijgen. De Richtlijn Dataretentie is inmiddels ongeldig verklaard27. In 2009 is er een
meldplicht geïntroduceerd in de telecommunicatie sector door de richtlijn 2009/136/EC28. Deze
meldplicht is op 5 juni 2012 ingevoerd in de TW29. Sinds 2013 is de meldplicht uit de TW geregeld via
de verordening 611/201330. De TW en de meldplicht daarin worden besproken in sectie 5.2.
3.2.4 Algemene Verordening Gegevensbescherming (verordening 2016/679)
In deze sectie wordt kort vooruit geblikt op de toekomstige gegevensbeschermingswetgeving. De
AVG is sinds mei 2016 bekend en gaat 25 mei 2018 van kracht. Deze bespreking van de AVG is niet
volledig en is bedoeld om een beeld te schetsen van de aankomende wetgeving.
De Europese Data Protectie Richtlijn (zie sectie 3.2.2) is verouderd en dekt niet meer adequaat het
gecompliceerde veld van gegevensbescherming. Dit is een veld wat door snelle technologische
ontwikkelingen ook steeds blijft veranderen. Doordat de EDPR wetgeving een richtlijn is zijn er veel
verschillen qua wetgeving in de verschillende EU-landen31. Dit zorgt voor verwarring en
internationale organisaties die aan verschillende, soms tegenstrijdige, wetgeving moeten voldoen.
De vervanging komt in de vorm van de Algemene Verordening Gegevensbescherming (AVG), die
sinds mei 2016 bekend is en mei 2018 van kracht gaat.
In tegenstelling tot de Europese Data Protectie Richtlijn is de Algemene Verordening
Gegevensbescherming, de naam zegt het al, een verordening. Dit betekent dat deze Europese
wetgeving direct betrekking heeft op Nederland (zie sectie 3.2.1) De AVG gaat 25 mei 2018 van
kracht. Tot die tijd blijft de WBP gelden.
De AVG levert flink wat veranderingen op het gebied van persoonsbescherming. Deze scriptie focust
op de WBP en de AVG zal hier dus slechts kort besproken worden. In sectie 5.4 worden de
verschillen besproken tussen de Meldplicht Datalekken en de meldplicht in de AVG.
26
e-Privacy richtlijn - Richtlijn 2002/58/EC – 2002 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:nl:PDF 27
Arrest van 8 April 2014, Digital Rights Ireland Ltd (C-293/12) v Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung (C-594/12) and Others, Case C-293/12, ECLI:EU:C:2014:238 28
Richtlijn burgerrechten Richtlijn 2009/136/EG http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:nl:PDF 29
Besluit implementatie herziene telecommunicatierichtlijnen, stb-2012-236
https://zoek.officielebekendmakingen.nl/stb-2012-236.html 30
Verordening (EU) nr. 611/2013 van de Commissie van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens op grond van Richtlijn 2002/58/EG van het Europees Parlement en de Raad betreffende privacy en elektronische communicatie. 31
Commission Press Release, MEMO/15/6385 (Dec. 21, 2015) http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
17
Een van de grote pijlers van de AVG is meer controle terug geven aan de betrokkene32. In de AVG
worden er diverse nieuwe rechten toegewezen aan de betrokkene. Zo is de AVG strikter over de
verwerkingsgrond toestemming (zie sectie 3.3.3) en krijgt de betrokkene het recht om vergeten te
worden en het recht op dataportabiliteit. Ook brengt de AVG strengere eisen voor de ontwikkeling
van technologie. De zogenaamde Privacy Impact Assessments worden verplicht en moeten ervoor
zorgen dat een organisatie vooraf de risico’s van het verwerken van persoonsgegevens door heeft.
Door het ‘Privacy by Design’ principe worden organisaties gedwongen gegevensbescherming mee te
nemen vanaf het begin van het ontwikkel proces. In de AVG komen dezelfde 6 verwerkingsgronden
voor als in de WBP. Deze gronden worden uitgeweid in aparte artikelen, om meer duidelijkheid en
grenzen te creëren rondom de gronden33. In tegenstelling tot de WBP is onder de AVG een
functionaris gegevensbescherming (vanaf nu FG) verplicht, ook wordt gespecificeerd welke taken en
verantwoordelijkheden deze heeft. Ook organisaties krijgen meer verantwoordelijkheden. Een
organisatie moet een actief gegevensbeschermingsbeleid voeren en maatregelen treffen die laten
zien dat een organisatie de AVG naleeft.
3.3 De Nederlandse Wet Bescherming Persoonsgegevens In deze sectie wordt de Nederlandse gegevensbeschermingswetgeving besproken. Later wordt ook de
Telecommunicatiewet en de Wet op Financieel Toezicht besproken (zie hoofdstuk 5). Beide
wetgevingen bevatten al eerder dan de WBP een meldplicht en zijn ook relevant in de ontwikkeling
van de Meldplicht Datalekken in de WBP. De Meldplicht Datalekken wordt in meer detail besproken
in hoofdstuk 4. In hoofdstuk 5 worden uitgebreid de verschillen tussen de Meldplicht Datalekken en
andere meldplichten bekeken. Een implementatie van de nieuwe wetgeving is niet aan de orde
omdat de nieuwe wetgeving, de Algemene Verordening Gegevensbescherming, een verordening is en
dus direct effect heeft in de lidstaten van de EU.
De WBP is de implementatie van de EDPR (zie sectie 3.2.2). De WBP is in 2000 in Nederland
geïmplementeerd, vijf jaar nadat de richtlijn uitgekomen is (1995). De WBP is erg uitgebreid en bevat
veel verschillende onderdelen. In deze sectie wordt een korte beschrijving gegeven van deze
wetgeving, maar de nadruk ligt op de aspecten relevant voor het begrijpen van de Meldplicht
Datalekken.
3.3.1 Definitie van persoonsgegevens en betrokkene
In de gegevensbeschermingswetgeving draait het om persoonsgegevens. Diegene waar deze
persoonsgegevens over gaan wordt de betrokkene genoemd. De WBP hanteert de volgende
definities voor persoonsgegevens en de betrokkene:
“persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke
persoon”34 – Art 1a, WBP.
“betrokkene: degene op wie een persoonsgegeven betrekking heeft;” – Art. 1f, WBP35.
Gegevens moeten voldoen aan twee eisen om persoonsgegevens te zijn: ze moeten gaan over een
natuurlijk persoon en ze moeten deze persoon identificeren. Voorbeelden van persoonsgegevens
32
De betrokkene is degene over wie de persoonsgegevens gaan. Zie sectie 3.3.1.4. 33
https://www.pmpartners.nl/wp-content/uploads/2016/04/CONSIL_ST_5419_2016_INIT_NL_TXT-1.pdf 34
Art 1a WBP http://wetten.overheid.nl/BWBR0011468/2016-01-01 35
Art 1f WBP http://wetten.overheid.nl/BWBR0011468/2016-01-01
18
zijn namen, adressen, telefoonnummers, emailadressen et cetera. In het onderwijs bevinden zich
veel persoonsgegevens. Naast een personeelsadministratie van een onderwijsinstelling zijn er
natuurlijk ook veel gegevens van leerlingen bekend. Naast de eerder genoemde persoonsgegevens
zijn bijvoorbeeld schoolresultaten zoals cijferlijsten van leerlingen ook persoonsgegevens. Toetsen
die uitgelekt zijn bevatten geen informatie over personen en zijn dan ook geen persoonsgegevens.
Ondanks dat een gelekte toets zeker ernstige gevolgen kan hebben valt het niet onder de Meldplicht
Datalekken omdat er geen persoonsgegevens bij betrokken zijn.
Een verdere uitleg over de definitie van persoonsgegevens kan worden gevonden in de opinion over
het onderwerp van de Working Party 2936. In het kader van de Meldplicht Datalekken is het
belangrijk dat organisaties zich realiseren welke van hun bestanden onder persoonsgegevens vallen.
3.3.1.1 Bijzondere persoonsgegevens
Bijzondere persoonsgegevens worden door de wet gedefinieerd als:
“De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras,
politieke gezindheid, gezondheid, seksuele leven, evenals persoonsgegevens betreffende het
lidmaatschap van een vakvereniging [is verboden behoudens het bepaalde in deze paragraaf.]
Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of
hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.” Artikel 16
WBP.
In de rest van de paragraaf worden de uitzonderingen op deze regel besproken. In de Meldplicht
Datalekken is de definitie van bijzondere persoonsgegevens relevant omdat er rekening gehouden
moet worden met de aard van persoonsgegevens in de risicoanalyse van de gevolgen voor de
betrokkene (zie sectie 4.2). Naast de eerder genoemde persoonsgegevens in sectie 3.3.1 kan een
onderwijsinstelling ook beschikken over bijzondere persoonsgegevens. Voorbeelden hiervan zijn
gegevens over gezondheidsgegevens en gegevens over beperkingen zoals dyslexie en autisme.
3.3.2 Verantwoordelijke vs. Bewerker
Een belangrijk onderdeel van de Meldplicht Datalekken is het verschil tussen de verantwoordelijke
en de bewerkers. In termen van verwerking van persoonsgegevens is de verantwoordelijke diegene
die bepaalt hoe en welke persoonsgegevens verwerkt worden. De verantwoordelijke organisatie kan
dit alleen doen als zij minimaal één verwerkingsgrond (zie sectie 3.3.3.1) heeft. De verantwoordelijke
is ook verantwoordelijke voor de gehele verwerking van persoonsgegevens en dat dit legaal
gebeurd.
Een voorbeeld van persoonsgegevens die elke organisatie bezit is de personeelsadministratie. De
organisatie is dan verantwoordelijke voor deze data. Stel dat een organisatie zijn
personeelsadministratie uitbesteedt aan een derde partij dan noemen we die derde partij de
bewerker. De bewerker verwerkt persoonsgegevens namens de verantwoordelijke. Een bewerker
heeft dus zelf geen verwerkingsgrond nodig, hij doet de verwerking in opdracht van iemand die wel
een verwerkingsgrond heeft: de verantwoordelijke.
36
Opinion 4/2007 on the concept of personal data – working party 29 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf
19
Onderwijsinstellingen zijn eigenlijk altijd verantwoordelijke. De persoonsgegevens die zij doorgaans
hebben zijn een eigen personeelsadministratie, maar ook de gegevens van studenten. Een voorbeeld
van een bewerker is bijvoorbeeld een aanbieder van een online leeromgeving waarop een leerling in
moet loggen. Een ander voorbeeld is een organisatie die voor de onderwijsinstelling een rapport
opstelt aan de hand van de schoolresultaten.
3.3.2.1 Bewerkersovereenkomsten
Omdat de verantwoordelijke verantwoordelijk is voor alle verwerkingen is hij ook verantwoordelijk
voor de verwerking die gedaan wordt door de bewerker. Als een verantwoordelijke zijn data laat
verwerken door een bewerker is het wettelijk verplicht dat zij een bewerkersovereenkomst
afsluiten.
Een bewerkersovereenkomst bevat minimaal de volgende onderwerpen (artikel 14 WBP):
Een bewerker verwerkt alleen in opdracht van de verantwoordelijke
Een bewerker zorgt dat er voldoende beveiliging is (Artikel 13 WBP)
Een bewerker stelt de verantwoordelijke op de hoogte van een inbreuk op de beveiliging
Een bewerker maakt afspraken over Internationaal verkeer van persoonsgegevens.
3.3.3 Verwerken van persoonsgegevens:
Het verwerken van persoonsgegevens is een breed begrip. Zo valt onder de verwerking van
persoonsgegevens: “elke handeling of elk geheel van handelingen met betrekking tot
persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren,
bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband
brengen, evenals het afschermen, uitwissen of vernietigen van gegevens;”37
Bij de definities van de verwerking van persoonsgegevens is het belangrijk om te realiseren dat een
actie al snel verwerking is. Ook het inzien van een lijst van gegevens, ook is het maar heel kort, valt
onder verwerking van de gegevens. Dit is belangrijk voor de Meldplicht Datalekken omdat er bij een
hack bijvoorbeeld geen persoonsgegevens gekopieerd zijn, maar wél ingezien zijn, er dus sprake is
van een lek.
3.3.3.1 Verwerkingsgronden
Artikel 8 WBP vereist dat persoonsgegevens alleen verwerkt word als er voldaan word aan minstens
één van de onderstaande zes wettelijke gronden. Elke verwerking van persoonsgegevens die een
organisatie doet moet op één van deze zes gronden.
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de
betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een
verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de
verantwoordelijke onderworpen is;
37
Artikel 1 sub b Wbp
20
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak
door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden
verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van
de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of
de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming
van de persoonlijke levenssfeer, prevaleert.
In sommige gevallen moet een organisatie naast voldoen aan één van de gronden ook speciale
toestemming hebben van de AP om te mogen verwerken. Om deze toestemming te krijgen is een
voorafgaand onderzoek(VO) nodig.
3.3.3.2 Melding van verwerking
Naast de Meldplicht Datalekken is er in de WBP nog een meldplicht aanwezig. Deze andere
meldplicht houdt in dat organisaties verplicht zijn de verwerking van persoonsgegevens te melden
aan de AP. Hierdoor heeft de AP een overzicht van alle organisaties die persoonsgegevens
verwerken.
Er zijn diverse uitzonderingen op de verplichting tot melding van verwerking. Hier word in deze
scriptie niet verder op ingegaan. Voor meer informatie zie de website van de AP38.
3.3.4 Beveiligingsmaatregelen
Een belangrijk onderdeel van de WBP dat ook een grote rol speelt in de Meldplicht Datalekken is de
beveiliging van persoonsgegevens.
In artikel 13 WBP worden verwerkers van persoonsgegevens verplicht om passende technische en
organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen
enige vorm van onrechtmatige verwerking.
Welke maatregelen passend zijn voor de beveiliging is aan de inschatting van diegene die belast is
met de informatiebeveiliging (zoals de Security Officer). Deze zou vanuit zijn professionele expertise
deze afweging moeten kunnen maken. Er zijn vanuit de wet geen specifieke details over de
beveiliging omdat deze vaak tijdsgebonden zijn en verouderde eisen kunnen daarmee dus leiden tot
verouderde beveiliging. Ook wordt met passende maatregelen bedoeld dat de maatregelen in
proportie moeten zijn. Zowel met de aard van de persoonsgegevens als met het risico van de
verwerking van de persoonsgegevens. Zo zal de beveiliging voor emailadressen in veel gevallen
sneller afdoende zijn dan maatregelen voor de bescherming van gevoelige medische gegevens39.
38 “Melden verwerking persoonsgegevens” geraadpleegd van: https://autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens 39
“Naslagwerk WBP – Hoofdstuk 2- Artikel 13 Wbp” geraadpleegd van https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-2-voorwaarden-voor-de-rechtmatigheid-van-de-verwerking-v-23
21
4 Meldplicht Datalekken art. 34a WBP In dit hoofdstuk wordt de Meldplicht Datalekken in detail besproken. Allereerst bespreken we
algemeen wat de Meldplicht Datalekken is (zie sectie 4.1) en wat de aanleiding voor de Meldplicht
Datalekken was (zie sectie 4.1.1). Vervolgens worden de voorwaarden van de melding aan zowel de
AP als de betrokkene besproken (zie sectie 4.2). De verantwoordelijke voor de Meldplicht Datalekken
wordt besproken in sectie 4.3. In sectie 4.34 wordt er kort naar de inhoud van de melding aan de AP,
deze wordt later uitgebreider besproken (zie hoofdstuk 7). Naast de melding aan de AP is er ook een
meldplicht aan de betrokkene. Deze wordt besproken in sectie 4.5. Daarna wordt er gekeken naar de
handhaving van de Meldplicht Datalekken(zie sectie 4.6) en als laatste wordt het bijhouden van een
register besproken (zie sectie 4.7).
4.1 De Meldplicht Datalekken Op 4 juni 2015 is de wetswijziging aangenomen met daarin de Meldplicht Datalekken. Deze nieuwe
wetgeving is per 1 januari 2016 ingegaan. De Meldplicht Datalekken is een wijziging op de wet
bescherming persoonsgegevens (WBP). De Meldplicht Datalekken houdt in dat organisaties in geval
van een datalek (zie sectie 4.1) waarbij persoonsgegevens betrokken zijn een melding moet maken
aan de AP(vroeger CBP) en in sommige gevallen aan de betrokkene.
Op 8 december 2015 publiceerde de AP de beleidsregels voor de Meldplicht Datalekken. Deze
beleidsregels geven inzicht in hoe artikel 34a van de WBP geïnterpreteerd moet worden. In deze
scriptie worden de onderwerpen in deze beleidsregels kort besproken. Voor gedetailleerdere
informatie en voorbeelden zie de beleidsregels Meldplicht Datalekken van de AP40.
In de wetswijziging op de WBP met daarin de Meldplicht Datalekken is een aantal dingen gewijzigd:
- Artikel 34a is toegevoegd met daarin de verplichting om te melden aan de AP en
betrokkene. Dit is de Meldplicht Datalekken,
- Naamsverandering van ‘College bescherming persoonsgegevens’ naar ‘Autoriteit
Persoonsgegevens’,
- Grotere boetebevoegdheid en bindende aanwijzing
- Verplichting tot het bijhouden register van datalekken,
- Verplichting tot het sluiten van bewerkersovereenkomst;
- Meldingen op basis van de TW moeten ook gemeld worden bij de AP en niet langer bij de
ACM.
4.1.1 Aanleiding en Doelen
De aanleiding van het wetsvoorstel voor de Meldplicht Datalekken is een groot aantal incidenten
met negatieve gevolgen in Nederland buiten de telecomsector. Er bestond al een meldplicht vanuit
de telecommunicatiewet (zie sectie 5.2), maar die geldt alleen voor de telecomsector, hierdoor
werden de incidenten van buiten de telecomsector niet gemeld. Er waren al langer plannen voor een
algemene meldplicht, maar omdat deze in de nieuwe privacy verordening (de AVG) zou komen was
in eerste instantie besloten om de AVG af te wachten. Toen bleek dat de AVG langer op zich liet
wachten is besloten om een algemene meldplicht (de Meldplicht Datalekken)toe te voegen aan de
40
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015
22
WBP. Omdat de tekst van de AVG nog niet duidelijk was heeft men besloten om de meldplicht
datalekken uit de WBP zo veel mogelijk te laten aansluiten op de meldplicht uit de TW, omdat die
ook ten grondslag ligt aan de meldplicht voor de AVG41.
De doelen van de Meldplicht Datalekken zijn42:
Grotere transparantie bij de verwerking van persoonsgegevens bewerkstelligen,
Ruimere aandacht te genereren voor de noodzaak om goed te investeren in beveiligingsmaatregelen,
Om op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde verwerking van persoonsgegevens te bewerkstelligen.
4.2 Voorwaardes voor de melding aan AP en betrokkene In deze sectie wordt besproken aan welke voorwaardes een incident moet voldoen voordat er
gemeld moet worden. Een incident hoeft niet altijd aan de AP gemeld te worden. Er is een serie aan
voorwaarden waaraan een incident moet voldoen voordat het verplicht is om het te melden aan de
AP43.
1. Ten eerste moet een incident een inbreuk op de beveiligingsmaatregelen zijn. Alle
incidenten die geen inbreuk op de beveiliging zijn hoeven niet gemeld te worden. (zie sectie
4.2.1)
2. Ten tweede moeten er bij het incident persoonsgegevens betrokken zijn, of er moet niet
uitgesloten kunnen worden dat er persoonsgegevens bij betrokken waren.
3. De derde voorwaarde om te melden is dat het incident ernstige nadelige gevolgen kan
hebben voor de bescherming van de persoonsgegevens.
Als een incident aan bovenstaande 3 voorwaarden voldoet moet er een melding gemaakt worden
aan de AP. Als de gegevens niet versleuteld zijn, of het lek kan ernstige gevolgen hebben voor de
betrokkene, dan is een melding aan de betrokkene ook verplicht (zie sectie 4.5). Opmerkelijk is dat
organisaties uit de Financiële sector, die ook al een eigen meldplicht hebben vanuit de wet op
Financieel toezicht (zie sectie 5.3) uitgezonderd zijn van het melden aan de betrokkene. Als zij een
melding aan de betrokkene doen, dan doen zij dat vanuit de WFT en niet vanuit de WBP.
41
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken 42
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken 43
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015
23
Figuur 1: Flowchart voor een datalek, beleidsregels Meldplicht Datalekken44
4.2.1 Inbreuk op de beveiligingsmaatregelen
De eerste voorwaarde waaraan een incident moet voldoen is dat het incident een inbreuk is op de
beveiliging. Een inbreuk op de beveiliging is het niet functioneren van de ingestelde technische en
organisatorische maatregelen zoals bedoeld in artikel 13 WBP(zie sectie 3.3.4). Dit hoeft niet per se
te betekenen dat er geen beveiligingsmaatregelen ingesteld zijn. Het kan ook zijn dat de ingestelde
maatregelen omzeild zijn. Dat een organisatie achter inbreuken op de beveiliging kan komen is dus
ook essentieel in het detecteren van datalekken. Dit wordt verder niet besproken in deze scriptie.
In tegenstelling tot wat eerder genoemd werd in de Memorie van Toelichting45, geeft de AP aan dat
een calamiteit waarbij data verloren gaat, zoals een brand, wél onder de Meldplicht Datalekken valt.
Dit is niet het geval als er een back-up beschikbaar is. Verder valt niet elke vorm van ongeoorloofde
toegang onder de Meldplicht Datalekken. Het ongeoorloofd gebruik maken van gegevens valt niet
onder de Meldplicht Datalekken. Een voorbeeld van ongeoorloofd gebruik is een docent die toegang
tot emailadressen van leerlingen gebruikt voor persoonlijke doeleinden. De Memorie van Toelichting
van het wetsvoorstel zegt hier het volgende over:
“De suggestie om de meldplicht te laten gelden voor elke vorm van ongeoorloofde toegang
wordt in dit wetsvoorstel niet gevolgd. De wetgever erkent dat ongeoorloofde toegang kan leiden tot
datalekken, die meldplichtig zijn. 'Hacken' is daarvan het meest aansprekende voorbeeld, maar ook
de nalatige omgang met wachtwoorden of vergelijkbare voorzieningen in een werkomgeving. In de
praktijk zal ongeoorloofde toegang moeilijk te onderscheiden zijn van het oneigenlijke gebruik of
misbruik maken van gegevens na op zichzelf geoorloofde toegang. Er is dan geen sprake van het
44
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 45
Kamerstukken II 2012/13 33 662, nr. 3, blz. 5-6. MvT Meldplicht Datalekken
24
inbreuk maken op beveiligingsmaatregelen, maar het misbruik maken van vertrouwen. Hoe
schadelijk dit ook kan zijn, dat is niet het onderwerp van dit wetsvoorstel.”46
4.2.2 Ernstige nadelige gevolgen
Een organisatie moet bij het behandelen van een datalek de afweging maken of een datalek (een
aanzienlijke kans op) ernstige nadelige gevolgen heeft. Deze beslissing bepaalt of er gemeld moet
worden aan de AP en eventueel ook aan de betrokkene. Er moet voor beide meldingen een aparte
afweging gemaakt worden. Als er gemeld moet worden aan de betrokkene, dan moet er ook altijd
gemeld worden aan de AP, andersom is dit niet het geval.
Bij de afweging voor de melding aan het AP is er een aantal factoren waar een organisatie rekening
mee moet houden47:
De aard van de persoonsgegevens
Als de persoonsgegevens van een gevoelige aard zijn is melden eigenlijk altijd verplicht. Bij
persoonsgegevens van een gevoelige aard moet gedacht worden aan bijzondere
persoonsgegevens (zie sectie 3.3.1.1), financiële gegevens, gebruikersnamen en
wachtwoorden, gegevens die gebruikt kunnen worden voor identiteitsfraude en andere
gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene.
Het aantal persoonsgegevens betrokken bij het datalek
Mocht het bij het lek om een grote hoeveelheid betrokkenen gaat kan er om die reden
gemeld worden, ook al zijn de persoonsgegevens niet van gevoelige aard
Het aantal gelekte persoonsgegevens per persoon
Als er van een betrokkene een grote hoeveelheid verschillende persoonsgegevens gelekt is
kan dit een vergrote kans op nadelige gevolgen veroorzaken.
Meer factoren zijn, verwerking in ketens, beslissingen die op basis van de gegevens genomen
worden en of de gegevens over kwetsbare groepen gaan (zie beleidsregels Meldplicht Datalekken48).
Als het niet bekend is om wat voor gegevens het lek gaat, dan moet een organisatie van het
slechtste uitgaan en dus een melding bij de AP maken.
Bij de afweging voor de melding aan de betrokkene worden naast dezelfde factoren als bij de
melding aan de AP ook nog andere factoren meegenomen49:
Zijn de persoonsgegevens versleuteld?
Als de persoonsgegevens op een passende manier technisch beveiligd zijn dan hoeft er geen
melding gemaakt te worden aan de betrokkene. Het is hierbij belangrijk dat de
persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt zijn. Bij deze technische
46
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken 47
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 48
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 49
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015
25
maatregelen moet je bijvoorbeeld denken aan encryptie en hashing. Er moet per geval
bekeken worden of de technische maatregelen voldoende bescherming bieden.
Worden de belangen van de betrokkenen geschaad?
Bijvoorbeeld onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits-)fraude
of discriminatie.
Wederom is het zo dat als de aard van de persoonsgegevens gevoelig is dat er dan altijd een melding
aan de betrokkene gemaakt moet worden. De melding aan de betrokkene mag achterwege gelaten
worden als er zwaarwegende redenen voor zijn. Deze zijn te vinden in artikel 43 WBP.
4.3 Verantwoordelijkheid voor de meldingen Zoals eerder genoemd (zie sectie 3.3.2) is de verantwoordelijke verantwoordelijk voor alle
verwerking van de data. De verantwoordelijke is ook verantwoordelijkheid voor het vaststellen en
melden van een datalek. Mocht de data ook verwerkt worden door een derde partij, ofwel
bewerker, dan is het de verantwoordelijkheid van de verwerker om duidelijke afspraken te maken
over een eventuele melding.
Zo kan een verantwoordelijke afspreken met de bewerker dat deze zelfstandig meldt aan de AP en
(mogelijk) de betrokkene, of eerst een melding maakt bij de verantwoordelijke. Hier moet de
verantwoordelijke natuurlijk wel rekening houden met dat de melding onverwijld aan het AP en
(mogelijk) de betrokkene gedaan moet worden.
4.4 Melding aan de AP Als er vastgesteld is dat er een datalek heeft plaatsgevonden moet de afweging gemaakt worden of
het noodzakelijk is deze te melden aan de AP (zie sectie 4.2). De melding aan het AP gaat via een
webformulier op hun website. Dit meldingsformulier wordt uitgebreid besproken in hoofdstuk 7.
Een melding aan de AP moet gebeuren binnen 72 uur nadat het datalek ontdekt is. Ook als een
datalek bij een bewerker gedetecteerd word, moet er binnen 72 uur gemeld worden. Als een
organisatie na 72 uur meldt moeten zij kunnen verantwoorden waarom. De AP geeft aan in de
beleidsregels dat, mocht nog niet alle informatie beschikbaar zijn na 72 uur, er een voorlopige
melding gedaan kan worden. Deze melding moet dan later aangevuld worden. Hoeveel tijd een
organisatie heeft om de melding aan te vullen wordt niet gedefinieerd.
Mocht achteraf blijken dat een melding geen datalek was, bijvoorbeeld na onderzoek, dan kan een
organisatie de melding weer intrekken.
4.5 Melding aan de betrokkene Naast de melding aan de AP, kunnen organisaties verplicht zijn om een melding te doen aan de
betrokkene. Hiervoor moet een afweging gemaakt worden. Deze afweging wordt besproken in sectie
4.2. Zoals vermeld in de WBP50 moet een melding aan de betrokkene de volgende drie onderwerpen
bevatten; de aard van de inbreuk, waar er meer informatie over het datalek te vinden is en
maatregelen die de betrokkene kan nemen. De melding moet op een dusdanige manier gedaan
worden zodat het een goede informatievoorziening is. Hierbij moet rekening gehouden worden met
de aard van de inbreuk, de gevolgen die de inbreuk gehad heeft op de persoonsgegevens, wie de
betrokkenen zijn en de kosten van het melden. Als het niet mogelijk is of te kostbaar is om alle
50
Artikel 34a, derde lid, WBP 2016 (2016, 1 jan). Geraadpleegd op 16-02-2017 van: http://wetten.overheid.nl/BWBR0011468/2016-01-01/0/
26
betrokkenen persoonlijk te informeren geeft de AP aan dat een e-mail sturen een geaccepteerd
alternatief is. Een algemeen bericht in de media is dat niet.
In tegenstelling tot de melding aan de AP is er geen strakke tijdslimiet gezet voor de melding aan de
betrokkene. Een melding aan de betrokkene moet ‘onverwijld’ gedaan worden, dus zo snel mogelijk.
In de melding aan de AP moet er aangegeven worden binnen welke termijn er gemeld gaat worden
aan de betrokkene. De organisatie bepaald dus zelf de termijn. Het is niet bekend of de AP een
dergelijke termijn ook kan afkeuren. De organisatie is daarna ook verplicht om zich aan deze termijn
te houden. Lukt het niet om de termijn te halen moet dat gemeld worden bij de AP. Ook naar de
betrokkene toe kan een voorlopige melding gemaakt worden.
Het melden aan de betrokkene maakt niet dat organisaties n niet meer aansprakelijk zijn voor
eventueel geleden schade door de betrokkene. Echter, als een organisatie tijdig een melding doet
waardoor de betrokkene zelf ook de mogelijkheid heeft gehad om de schade te beperken, kan een
schadeclaim lager uitvallen. Het melden aan de betrokkene kan dus ook gunstig zijn voor een
organisatie in deze context.
4.6 Handhaving en Boetebepalingen De AP is de toezichthouder voor de Meldplicht Datalekken. Zij is niet alleen het meldpunt waar de
datalekken gemeld moeten worden, maar ook degene die het datalek behandeld. Mocht een
organisatie zich niet aan de Meldplicht Datalekken en de rest van de WBP houden dan is de AP
bevoegd om boetes uit te delen.
De AP heeft beleidsregels51 uitgevaardigd over de Meldplicht Datalekken, deze dienen als richtlijnen
en praktische uitleg van deze meldplicht. Aangezien de AP ook degene is die onderzoeken doet en
boetes uitdeelt zijn deze beleidsregels een goede indicatie van hoe de Meldplicht Datalekken
geïnterpreteerd moet worden. De AP geeft op haar website aan dat de boetes voornamelijk dienen
als afschrikmiddel voor organisaties. Aan een boete zal bijna altijd een bindende aanwijzing vooraf
gaan. De AP kan een boete direct opleggen maar zal dit alleen doen in geval van een opzettelijke
overtreding of ernstige nalatigheid.
De maximale boete voor een overtreding van de WBP is € 820.000. Voor organisaties in de
telecomsector is dit maximum opgeschroefd naar € 900.000 per 1 juli 2016 na een verhoging van het
boetemaximum van artikel 11.3a TW.
In de boetebeleidsregels52 van de AP wordt uitgelegd hoe de boetes voor overtreding van de WBP en
de TW worden bepaald. Hierbinnen is een onderscheid in overtreding van de WBP en van de TW. De
boetebepaling voor overtreding van de TW werkt vergelijkbaar met die van de WBP, alleen door een
ander boetemaximum liggen de boetecategorieën net iets anders. Er wordt hier alleen besproken
51
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 52
Boetebeleidsregels Autoriteit Persoonsgegevens 2016 Publicatie 15 december 2015, gewijzigd op 6 juli 2016. Bekeken op 10-10-16 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_van_de_autoriteit_persoonsgegevens_van_15_december_2015.pdf
27
hoe de boetebepaling voor overtreding van de WBP werkt omdat deze relevant is voor de
onderwijsinstellingen.
Overtredingen van de WBP zijn per artikel ingedeeld in categorieën. Deze categorieën
corresponderen met een boetebandbreedte. Bijvoorbeeld als een organisatie geen melding doet van
een datalek (overtreding van artikel 34a lid 1 WBP) dan valt deze overtreding in categorie II.
Categorie II valt in de boetebandbreedte van tussen de € 150.000 en € 600.000. De derde categorie
bevat de boetebrandbeedte tot € 820.00053. Het is voor de AP echter mogelijk een hogere boete uit
te delen. Als de AP vindt dat deze maximum boete niet passend is voor de overtreding kan de AP de
boete ophogen tot maximaal 10% van de jaaromzet. Voorbeelden van overtredingen zijn; niet
melden van een datalek aan de AP (art 34a lid 4 WBP), het niet melden van een datalek aan de
betrokkene (art 34a lid 2 WBP), verkeerde inhoud van de melding aan of AP of betrokkene (art 34a
lid 3), het niet op orde hebben van de beveiliging (art 13 WBP) en het niet opvolgen van een
bindende aanwijzing (art 66 lid 5 WBP).
De AP houdt bij het bepalen van de boete rekening met de ernst van de overtreding54, de mate
waarin de overtreding te verwijten is55 en eventuele (financiële) omstandigheden. Naast deze
factoren kunnen er ook boeteverhogende en boeteverlagende omstandigheden zijn.
Boeteverhogende omstandigheden zijn bijvoorbeeld het tegenwerken van een onderzoek door de
AP of het niet opvolgen van een bindende aanwijzing. Boeteverlagende omstandigheden zijn
bijvoorbeeld meewerken met een onderzoek en het uit eigen beweging schadeloos stellen van
betrokkene.
De boetebepaling is voor overtreding van een bepaald artikel. Zijn er meerdere overtredingen dan
kunnen er ook meerdere boetes verwacht worden. Het totaal van deze boetes moet echter wel
aansluiten bij de ernst van de overtreding56.
4.7 Verplichting register datalekken Het is in de Meldplicht Datalekken verplicht om naast het doen van een melding aan AP en
(eventueel) betrokkene, ook zelf een register bij te houden van alle datalekken die er geweest zijn in
de organisatie57. Er is vanuit de wet geen eis gesteld aan hoelang informatie over datalekken
bewaard moeten blijven. Naast de incidenten die gemeld worden aan de AP (en eventueel de
betrokkene), moeten ook incidenten waarvan besloten is om ze niet te melden worden
gedocumenteerd. Hierbij moet vermeld worden welke keuzes er gemaakt zijn rondom de afweging
van melden. De reden hiervoor is dat zowel de organisaties als de AP achteraf terug kunnen kijken
wat er gebeurd is en ook de motivaties kunnen begrijpen waarom bijvoorbeeld besloten is om niet
te melden aan de AP of de betrokkene.
53
Voor overtreding van de WBP, voor overtreding van de TW loopt deze boetebandbreedte tot € 900.000 54
Artikel 6.1 Boetebeleidsregels Autoriteit Persoonsgegevens 2016 Publicatie 15 december 2015, gewijzigd op 6 juli 2016. 55
Artikel 6.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2016 Publicatie 15 december 2015, gewijzigd op 6 juli 2016. 56
Uit de toelichting op de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 Publicatie 15 december 2015, gewijzigd op 6 juli 2016. Pg 15-16 57
Artikel 34a lid 8, WBP (2016, 1 jan). Geraadpleegd van: http://wetten.overheid.nl/BWBR0011468/2016-01-01/0/
28
5 Vergelijking met andere meldplichten In dit hoofdstuk worden de diverse meldplichten met elkaar vergeleken. In sectie 5.1 wordt kort de
tijdlijn geschetst waarop deze meldplichten staan. In sectie 5.2 wordt de telecommunicatiewet en de
meldplicht daarin besproken en vergeleken met de Meldplicht Datalekken. In sectie 5.3 wordt de Wet
op Financieel toezicht en de meldplichten daarin besproken en vergeleken met de Meldplicht
Datalekken. In sectie 5.4 komt de meldplicht uit de AVG aan bod en wordt vergeleken met de
Meldplicht Datalekken. Als laatste worden in sectie 5.5 meldplichten van buiten de E.U. vergeleken
met de Meldplicht Datalekken. De nadruk ligt hierbij op de Amerikaanse wetgeving (V.S.).
5.1 Korte situatieschets Naast de eerder al aanwezige meldplicht in de TW (zie sectie 5.2) is per januari 2016 de Meldplicht
Datalekken (besproken in hoofdstuk 4) ingevoerd. De Meldplicht Datalekken vormt een soort vervolg
op de meldplicht uit de TW, maar de meldplicht in de TW blijft nog steeds bestaan. Beide
meldplichten, die in de TW en die in de Meldplicht Datalekken worden vervangen als in 2018 de AVG
(zie sectie 5.4) ingaat. Naast deze meldplichten bestaat er in de Wet op Financieel Toezicht (vanaf nu
WFT) ook een meldplicht (zie sectie 5.3). Organisaties uit de financiële sector hebben naast een
meldplicht op basis van de WFT ook een meldplicht op basis van de WBP.
“Wat alle meldplichten met betrekking tot datalekken, (of andere ernstige incidenten met betrekking
tot de bedrijfsvoering, en in het bijzonder de informatiehuishouding, van bedrijven en overheid -
ongeacht welke inhoud zij hebben en ongeacht of zij vrijwillig of verplichtend, of privaatrechtelijk of
publiekrechtelijk van aard zijn – ) met elkaar gemeen hebben is dat zij steeds hetzelfde doel dienen.
Dat doel is het bevestigen en waar nodig herstellen van het vertrouwen van het publiek, de klanten,
de markt, de overheid en de toezichthouders in de desbetreffende instelling of het desbetreffende
bedrijf.” - memorie van toelichting op de Meldplicht Datalekken58
58
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken
29
5.2 Telecommunicatiewet In deze sectie wordt kort de TW besproken en de meldplicht uit de TW. Dit wordt in deze scriptie
besproken omdat de Telecommunicatiewet een meldplicht bevat die de voorloper is van de
Meldplicht Datalekken en de meldplicht in de aankomende AVG (zie sectie 5.4).
De TW bevat de regels waaraan de telecommunicatiesector zich moet houden. Deze wetgeving geldt
dus alleen voor aanbieders van openbare elektronische communicatiediensten. De TW is de
Nederlandse implementatie van de e-Privacyrichtlijn. In 2009 heeft de Richtlijn Burgerrechten de e-
Privacyrichtlijn geamendeerd (zie sectie 3.2.3). Hierbij is een meldplicht in de TW geïntroduceerd. In
deze scriptie wordt alleen gekeken naar de meldplicht voor inbreuk op beveiligingsmaatregelen uit
artikel 11.3a, de TW. De TW bevat nog twee andere meldplichten. De meldplicht op basis van art
11a.2 met betrekking tot de continuïteit van telecomdiensten en die in art 2 lid 1 over de
betrouwbaarheid van certificaten. Deze laatste twee worden niet besproken in deze scriptie omdat
zij niet met persoonsgegevens van doen hebben.
Artikel 11.3a vormt de implementatie van art 4 lid 3 van richtlijn 2002/58/EG. Deze meldplicht (vanaf
nu meldplicht TW) houdt in dat de toezichthouder op de hoogte gesteld moet worden van inbreuken
op de beveiligingsmaatregelen die verband houden met persoonsgegevens. Als het datalek
waarschijnlijk ongunstige gevolgen heeft voor de betrokkene, dan moet er ook aan hen gemeld
worden. De meldplicht TW is erg vergelijkbaar met de Meldplicht Datalekken uit de WBP.
In de MvT op het wetsvoorstel voor de Meldplicht Datalekken in de WBP is er nadrukkelijk gemeld
dat de Meldplicht Datalekken bedoeld is om aan te sluiten op de meldplicht TW59. Zo komen de
doelen van de meldplicht TW en die van de Meldplicht Datalekken grotendeels overeen. Beide
wetgevingen noemen dat een meldplicht bij kan dragen aan de bescherming van betrokkene, het
vertrouwen van de betrokkene vergroten, het stimuleren van vertrouwen in de verwerking van
persoonsgegevens en het stimuleren van verbetering van beveiligingsmaatregelen. Ook zijn de
boetebeleidsregels voor overtreding van de Meldplicht Datalekken geïnspireerd op de
boetebeleidsregels voor de meldplicht TW60. De meldplicht TW heeft veel invloed gehad op hoe de
Meldplicht Datalekken er nu uitziet. Zo is bijvoorbeeld de vragenlijst in het meldingsformulier voor
een melding op basis van de Meldplicht Datalekken gebaseerd op het meldingsformulier van de
ACM, deze heeft het weer gebaseerd op het rapport van de Europese toezichthouder, de ENISA61.
Naast veel overeenkomsten is er ook een aantal verschillen tussen de meldplichten. In tabel 1 staan
deze verschillen op een rijtje naast elkaar. Na de tabel worden de verschillen uitgebreider
besproken. Omdat er met de ingang van de Meldplicht Datalekken WBP ook een aantal dingen
veranderd is voor de meldplicht TW worden beide situaties kort aangestipt.
Meldplicht Datalekken artikel 34a WBP Meldplicht uit de Telecommunicatiewet art 11.3a
1 72 uur 24 uur (Na 1 januari 2016 is dit ook 72 uur)
2 Melden bij de AP Autoriteit Consument en Markt (ACM) tot
59
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken 60
Uit de toelichting op de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 Publicatie 15 december 2015, gewijzigd op 6 juli 2016. 61
ENISA (04-05-2012) Recommendations on technical implementation guidelines article 4, https://www.enisa.europa.eu/publications/art4_tech
30
1 januari 2016, daarna bij AP
3 maximaal € 820.000 of 10% van de jaaromzet
Boetes tot €450.000 (dit is per juli 2016 aangepast tot maximaal €900.000)
4 Voor alle organisaties die persoonsgegevens verwerken
Voor organisaties in de telecomsector
5 Verantwoordelijke is verantwoordelijk voor melden
Zowel een verantwoordelijke als een bewerker kan verantwoordelijk zijn.
6 Meldplicht voor alle organisaties Alleen een meldplicht als die verband houdt met de levering van openbare elektronische communicatiediensten
7 Melden via webformulier of fax Melden via webformulier of telefoon Tabel 1: Verschillen tussen de Meldplicht Datalekken WBP en de meldplicht uit de TW
1 Termijn om te melden
Voor 1 januari 2016 moesten telecomorganisaties binnen 24 uur melden aan de ACM. Na 1 januari
2016 moeten telecomorganisaties voldoen aan de eisen van de AP en is de termijn 72 uur.
2 Toezichthouder aan wie gemeld moet worden
Een melding aan de toezichthouder moest tot 2016 gemaakt worden via het Agentschap Telecom.
Deze gaf de melding door aan de ACM (voorheen OPTA), die de melding beoordeelde. Tegenwoordig
moeten meldingen op basis van de Meldplicht TW ook bij de AP gemaakt worden.
Om een incident te kunnen melden bij het meldingsloket van de ACM (voorheen OPTA, na 1 januari
bij de AP) had de organisatie een inlogcode nodig. Deze inlogcode was alleen te verkrijgen als een
organisatie een aanbieder was van een openbare elektronische communicatiedienst.62 In de
Meldplicht Datalekken uit de WBP is het niet het geval dat er ingelogd moet worden (zie hoofdstuk
7).
3 Boetes
De maximale boete voor overtreding van de Meldplicht TW was tot €450.000. Voor de Meldplicht
Datalekken WBP is de maximale boete €820.000 (zie sectie 4.6). Sinds juli 2016 is de maximale boete
voor overtreding van de Meldplicht TW omhoog gegaan naar €900.000.
4 Betreffende organisaties
Een van de grootste verschillen is natuurlijk dat de meldplicht TW alleen geldt voor organisaties in de
telecomsector. De Meldplicht Datalekken uit de WBP geldt voor alle organisaties die
persoonsgegevens verwerken.
5 Verantwoordelijkheden van verantwoordelijke en bewerkers
Een ander verschil is de verantwoordelijkheden tussen die van de verantwoordelijke en die van de
bewerkers. Binnen de WBP is de verantwoordelijke verantwoordelijk voor de verwerking van de
persoonsgegevens. Als er een datalek optreedt, ook al is dit bij een bewerker, dan blijft de
62
OPTA (4 juni 2012 ), Handleiding melden inbreuk bescherming persoonsgegevens. Geraadpleegd van: https://www.acm.nl/download/bestand/handleiding%20melden%20inbreuk%20bescherming%20persoonsgegevens%20v1-0.pdf
31
verantwoordelijke eindverantwoordelijk (zie sectie 3.3.2). Voor de meldplicht TW is dit niet het
geval. Ook de bewerker is verantwoordelijk om een datalek te melden. Dit is een belangrijk punt in
het opstellen van bewerkersovereenkomsten en ook belangrijk voor bewerkers om zich te realiseren
op basis van welke wetgeving zij gegevens verwerken voor een verantwoordelijke.
6 Melden alleen in als een incident verband houdt met de levering van openbare elektronische
communicatiediensten.
De meldplicht TW geldt alleen als het incident verband houdt met de levering van openbare
elektronische communicatiediensten. De Meldplicht Datalekken WBP geld in alle gevallen waar
persoonsgegevens betrokken zijn. Een telecomorganisatie moet bijvoorbeeld het kwijtraken van een
personeelsadministratie melden op basis van de Meldplicht Datalekken WBP en niet voor de
meldplicht TW.
5.3 Wet op Financieel toezicht In deze sectie worden de belangrijkste meldplichten uit de Wet op Financieel toezicht besproken en
daarna in relatie gezet tot de Meldplicht Datalekken. De Wet op Financieel toezicht wordt niet in
detail besproken.
De Wet op Financieel Toezicht (vanaf nu WFT) ziet toe op de financiële sector in Nederland. De WFT
schijft voor aan welke eisen en regels financiële instellingen moeten voldoen.
Binnen de WFT bestaan diverse meldplichten. De drie grootste meldplichten zijn: de meldplicht
incidenten, de meldplicht aanbieders voor overtreding van bemiddelaars en de meldplicht markt
misbruik. In deze scriptie wordt alleen de meldplicht incidenten besproken omdat deze te maken
kan hebben met persoonsgegevens. De meldplicht incidenten houd in dat een financiële organisatie
op basis van artikel 3:10 of 4:11 WFT een melding moet maken als er zich een incident voordoet wat
invloed kan hebben op de integriteit van de organisaties. Een incident wordt door de WFT
gedefinieerd als “Incident: gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere
uitoefening van het bedrijf van de desbetreffende financiële onderneming”63.
Meldplicht Datalekken artikel 34a WBP Meldplicht incidenten WFT
1 Melding aan AP Melding aan financieel toezichthouder (DNB of AFM) en sinds 1 januari ook aan de AP
2 Alleen voor datalekken De meldplicht geldt voor elk incident dat het vertrouwen in de betreffende financiële onderneming of de financiële markten als geheel kan schaden.
3 Drie doelen Eén doel
4 Sommige gevallen wel melden aan betrokkene
Geen verplichting om te melden aan betrokkene
5 Melding aan toezichthouder via het webformulier of fax
Melding aan toezichthouder via accounttoezichthouder of emailadres
Tabel 2: Verschillen tussen de Meldplicht Datalekken WBP en de meldplicht incidenten in de WFT
63
Artikel 1 van het Besluit prudentiële regels WFT en artikel 1 van het Besluit Gedragstoezicht financiële ondernemingen WFT.
32
1 Melden aan AP of financieel toezichthouder
Bij welke financiële toezichthouder de financiële organisatie moet melden is afhankelijk van waar de
organisatie geregistreerd staat. Een financiële organisatie moet of bij de DNB of bij de AFM melden.
Naast deze melding kan het zijn dat de organisatie óók aan de AP moet melden. Hierbij moet de
organisatie de beleidsregels Meldplicht Datalekken volgen. De financiële organisatie heeft dus een
dubbele meldplicht; bij de AP en bij de financiële toezichthouder. Deze dubbele meldplicht wordt
gerechtvaardigd door het lage aantal incidenten in de financiële sector en doordat de doelen van de
meldplichten verschillen.64
2 Alleen datalekken vs. andere incidenten
De Meldplicht Datalekken geldt alleen voor een inbreuk op de beveiligingsmaatregelen waarbij er
ernstige gevolgen kunnen zijn. Voor de meldplicht incidenten uit de WFT geldt dat alle incidenten die
het vertrouwen in de betreffende financiële onderneming of de financiële markten als geheel
kunnen schaden gemeld moeten worden. De meldplicht incidenten is hierin veel breder dan de
Meldplicht datalekken. De DNB noemt vier categorieën van incidenten: Incidenten met betrekking
tot een beheerste en integere bedrijfsvoering65, IT-incidenten (hier vallen datalekken onder),
Bestuurscrisis/governance en de relatie met de toezichthouder. De AFM hanteert bewust geen
beleidsregels66.
3 Verschillende doelen.
De doelen van de Meldplicht Datalekken uit de WBP zijn (zie 4.1.1)67:
- Grotere transparantie bij de verwerking van persoonsgegevens bewerkstelligen,
- Ruimere aandacht te genereren voor de noodzaak om goed te investeren in
beveiligingsmaatregelen
- Op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde
verwerking van persoonsgegevens te bewerkstelligen.
Het doel van de meldplicht incidenten in de WFT is het bewaken, waarborgen of herstellen van de
integere uitoefening van het bedrijf van de desbetreffende financiële onderneming65.
4 Melden aan betrokkene
Een belangrijk verschil tussen de Meldplicht Datalekken uit de WBP en de meldplicht incidenten uit
de WFT is dat er vanuit de meldplicht incidenten geen verplichting is om te melden aan de
betrokkene. Ook in de Meldplicht Datalekken uit de WBP is het voor financiële organisaties niet
verplicht om een melding te doen aan de betrokkene.
64
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken 65
DNB, 31 maart 2016, Meldplicht toezichtincidenten, geraadpleegd van: https://www.dnb.nl/nieuws/dnb-nieuwsbrieven/nieuwsbrief-beleggingsondernemingen/nieuwsbrief-beleggingsondernemingen-maart-2016/dnb339307.jsp 66
AFM, 7 juli 2016, Feedbackstatement: afzien van een beleidsregel incident Wft / Bgfo, geraadpleegd van: https://www.afm.nl/~/profmedia/files/consultaties/2016/feedbackstatement-beleidsregel-incident.ashx 67
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken
33
5.4 Algemene Verordening Gegevensbescherming In deze sectie wordt kort een aantal verschillen genoemd met de aankomende nieuwe Europese
wetgeving, de AVG. Deze wordt voornamelijk besproken met betrekking tot de Meldplicht
Datalekken.
De AVG zelf is eerder in deze scriptie besproken (zie sectie 3.2.4). De meldplicht Datalekken is
opgesteld om zo veel mogelijk aan te sluiten op de meldplicht in de AVG. In tabel 3 worden de
verschillen tussen deze meldplichten naast elkaar gezet. Daarna worden deze kort besproken.
Meldplicht Datalekken zoals in art. 34a van
WBP
Algemene Verordening Gegevens
bescherming
1 maximaal € 820.000 of 10% van de jaaromzet €20 miljoen of 4% van de jaaromzet
2 Melden aan de AP en eventueel ook aan
andere Europese toezichthouders
One-stop-shop, melden hoeft maar aan
één toezichthouder.
3 Alleen melden als er kans is op ernstige nadelige
gevolgen
Altijd melden tenzij het geen risico oplevert
4 Bewerker is alleen verplicht een datalek door te
geven als dit in een contract
(bewerkersovereenkomst) geregeld is
De bewerker is zelf vanuit de AVG verplicht
om een melding te maken aan de
toezichthouder
5 Smallere definitie van persoonsgegevens Bredere definitie van persoonsgegevens
Tabel 3: Verschil tussen de Meldplicht Datalekken WBP en de AVG
1. Verschil in boetebedragen
Voor overtreding van de AVG is het mogelijk om boetes te krijgen tot €20 miljoen of 4% van de
jaaromzet, afhankelijk van welk bedrag hoger is. In de WBP is de boete voor overtreding maximaal €
820.000 of 10% van de jaaromzet.
2. Van meerdere toezichthouders naar één toezichthouder.
Eén van de grote veranderingen niet zozeer aan de meldplicht als meer aan de toezichthouders is
het zogenaamde ‘One-stop-shop’ principe. Dit houdt in dat alle toezichthouders verenigd zijn in één
toezichthouder. Praktisch houdt dat in dat een datalek aan slechts één toezichthouder gemeld hoeft
te worden. Samen met het feit dat er in de hele E.U. dezelfde regels gelden, scheelt dit
internationale organisaties een hoop werk.
3. Meldingsvoorwaarden
Een andere verandering in de AVG is een vrij subtiele. Momenteel, in de WBP, moet alleen gemeld
worden aan de AP als er beoordeeld is dat een datalek ernstige gevolgen kan hebben (artikel 34a
34
lid1 WBP). In de AVG moet er altijd gemeld worden aan de AP tenzij er geen risico is (artikel 33 lid1
Verordening 2016/679 (AVG)).
4. Verplichtingen bewerker
In de WBP is de verantwoordelijke verantwoordelijk voor afspraken maken met de bewerker over diverse zaken, o.a. het melden van een datalek. In de AVG wordt de bewerker verplicht om een datalek te melden aan de verantwoordelijke, ook als dit niet in een contract geregeld is.
5. Andere nieuwe definitie van persoonsgegevens
Een verschil tussen de WBP en de AVG is de definitie van persoonsgegevens. De definitie van
persoonsgegevens in de AVG (artikel 4 lid 1 Verordening 2016/679 (AVG)) is breder dan de definitie
uit de WBP (artikel 1a WBP). Voor de meldplicht zal dat betekenen dat gegevens die voorheen geen
persoonsgegevens waren mogelijk nu wel persoonsgegevens zijn. Voor organisaties zal dit
betekenen dat ze hun dataverwerking zullen moeten evalueren om zeker te weten dat zij nog steeds
voldoen aan alle eisen die gesteld worden aan de verwerking van persoonsgegeven. Mocht deze
data nu wel onder persoonsgegevens gaan vallen dan is het belangrijk dat er voldaan word aan de
eisen van deze wetgeving (de AVG), omdat er anders onrechtmatig en dus illegaal verwerkt word.
Natuurlijk geldt dan voor deze data een meldplicht, die eerder niet van toepassing was omdat de
data eerder geen persoonsgegevens waren.
5.5 Meldplichten buiten de EU De Meldplicht Datalekken in Nederland is niet de eerste meldplicht ter wereld. Zoals eerder al
genoemd is er in California (V.S.) al in 2002 een meldplicht ingesteld. Ook in andere landen zoals
Engeland en Australië zijn er al langer wetten rondom datalekken. The World Law Group geeft een
uitgebreid overzicht68 van de verschillende datalek meldingsplichten over de hele wereld
Het belangrijkste verschil met deze meldplichten is dat de Nederlandse Meldplicht Datalekken
ontworpen is met het oog op de aankomende Europese wetgeving de AVG. Doordat deze
buitenlandse wetgevingen ouder zijn zal er een groter verschil zijn met de meldplicht zoals bedoeld
in de AVG. Voor de lidstaten van de E.U. betekend dit dat zij hun wetgeving waarschijnlijk aan
moeten gaan passen of dat hun wetgeving ook volledig verdwijnt, net als de Meldplicht Datalekken.
Afhankelijk van deze verschillen zal de overgang naar de nieuwe wetgeving waarschijnlijk moeilijker
of makkelijker gaan.
5.5.1 Meldplichten datalekken in de V.S.
In 2002 begon de staat California met het instellen van nieuwe wetgeving. De doelen hiervan waren
consumenten de mogelijkheid geven zich te beschermen en het bevorderen van bewustzijn en
kwaliteit van gegevensbescherming door de kosten en reputatieschade aan organisaties.
De National Conference of State Legislatures69 geeft een overzicht van alle wetgevingen in de VS die
een datalekmeldplicht hebben. In de V.S. is er geen nationale wetgeving voor het melden van
datalekken. In plaats daarvan is een eventueel aanwezige meldplicht geregeld door de staat. De
68
The World Law Group (2016) Global Guide to Data Breach Notifications, verkregen van: http://www.theworldlawgroup.com/wlg/global_data_breach_guide_home.asp 69
Security Breach Notification Laws. (01-04-2016). Geraadpleegd op 06-02-2017: http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx
35
meldplichten in de V.S. verschillen met elkaar in onder andere op welke data de meldplicht van
toepassing is, de tijd waarbinnen gemeld moet worden en het minimum aantal betrokkenen.
Eén van de opvallende dingen in de verschillende meldplichten in de V.S. is dat de wetten van de
staat waar de betrokkene woonachtig is van toepassing zijn. Dit kan er dus voor zorgen dat een
organisatie die op nationaal niveau opereert en data verzameld, zich aan alle verschillende
wetgevingen van allerlei verschillende staten moet houden.
Meldplicht Datalekken artikel 34a WBP
Meldplichten in de V.S. 69
1 Melding aan AP Geen centrale autoriteit, het verschilt per staat of, wat en aan wie je moet melden
2 Een definitie van persoonsgegevens die aansluit bij de Europese definities in de wetgeving.
Definitie van persoonlijke data ligt anders per staat
3 Binnen 72 uur aan de AP, en onverwijld aan de betrokkene.
De meldingstermijn verschilt ook van “redelijke tijd zonder oponthoud” tot soms wel 40 dagen
4 Geen minimum aantal betrokkenen Verschillend per staat vanaf welke aantal betrokkenen een melding gemaakt moet worden
Tabel 4: Verschillen tussen de Meldplicht Datalekken en meldplichten in de V.S.
36
6 Analyse statistiek en incidenten In dit hoofdstuk wordt er gekeken naar de statistiek van incidenten met persoonsgegevens die al
plaats gevonden hebben. Er wordt gekeken naar de statistiek die beschikbaar is in registers, vanuit
de AP en vanuit de pers. Doordat er weinig informatie beschikbaar is blijft dit hoofdstuk erg
algemeen.
6.1 Statistieken voor meldingen Deze statistiek gaat over meldingen gemaakt aan de AP. Over meldingen aan betrokkene is weinig
bekend.
Er is in Nederland momenteel geen openbaar register beschikbaar van alle datalekken. In de V.S. zijn
er openbare registers met veel lekken beschikbaar, maar deze gebaseerd op berichten uit de media
(niet op basis van officiële berichten). Sommige staten verplichten het bekend maken van een lek
(zie sectie 5.5).
In Nederland zijn er 130.000 organisaties die persoonsgegevens verwerken70. Met de ingang van de
Meldplicht Datalekken verwachtte de AP dan ook een groot aantal meldingen. Er werden 66.000
meldingen verwacht per jaar71.
Voor zover bekend zijn er tot februari 2017 door de AP geen boetes uitgedeeld. Vicevoorzitter
Wilbert Tomesen van de AP geeft meerdere malen aan dat hij het aantal meldingen laag vindt72,73.
Inmiddels is er een factsheet gepubliceerd74 waarin de meest recente cijfers gepubliceerd zijn. Hierin
noemt de AP een totaal van ‘bijna 5500’ meldingen in 2016. Persoonlijk hoop ik op een uitgebreider
jaarverslag als vervolg op deze factsheet, waarin in meer detail ingegaan gaat worden op deze ‘bijna
5500’ meldingen. Het onderwijs is volgens de AP verantwoordelijk voor 4% van de meldingen.
Onderwijs wordt in deze context niet verder gespecificeerd. Als we rekenen met de ‘bijna 5500’
meldingen, zou dat betekenen dat er ‘bijna’ 220 meldingen vanuit het onderwijs gemaakt zijn. Als
grootste sector wordt door de AP de sector gezondheidszorg & welzijn genoemd. De AP vergelijkt
hierbij de sector gezondheidzorg & welzijn met andere sectoren. Naar mijn mening is deze
vergelijking vertekend. Een zorginstelling heeft eigenlijk altijd te maken met bijzondere
persoonsgegevens en zal een datalek dus altijd moeten melden. Een organisatie uit een andere
sector die met ‘gewone’ persoonsgegevens werkt hoeft een datalek niet altijd te melden, alleen als
er een kans is op ernstige nadelige gevolgen. Hierdoor zal een organisatie uit de zorg vaker moeten
melden en een hoger aantal meldingen hebben. Dit zal een vertekend beeld geven in de vergelijking.
70
Vicevoorzitter AP Wilbert Tomesen tegen NOS. Schellevis J. (13-05-2016). Privacywaakhond: datalekken worden niet gemeld. NOS. Geraadpleegd van http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html 71
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken 72
Tervooren K. (01-09-2016). 3.400 DATALEKKEN GEMELD NA INVOERING MELDPLICHT.BNR. Geraadpleegd vanhttps://www.bnr.nl/nieuws/tech/10310217/3-400-datalekken-gemeld-na-invoering-meldplicht 73
Schellevis J. (13-05-2016). Privacywaakhond: datalekken worden niet gemeld. NOS. Geraadpleegd van http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html 74
Autoriteit Persoonsgegevens (2016). 1 jaar meldplicht datalekken: facts & figures 2016. Geraadpleegd van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/factsheet_facts_figures_meldplicht_datalekken_2016.pdf
37
6.2 Incidenten in de Nederlandse pers In deze sectie worden incidenten uit het onderwijs en enkele andere incidenten besproken. Deze
geven een (beperkt) beeld van wat een datalek kan zijn en wat er zoal mis kan gaan rondom een lek.
In het afgelopen jaar is er een aantal datalekken in de pers geweest, zowel in Nederland als in het
buitenland, met als meest bekende in het buitenland de Ashley Madison Hack. In deze sectie kijken
we alleen naar Nederlandse incidenten vanwege de relevante wetgeving, de Meldplicht Datalekken.
Hieronder worden kort een paar datalekken besproken. De informatie over deze datalekken komt
voornamelijk uit de pers en kan daardoor een vertekend beeld geven.
6.2.1 In het onderwijs
Ook over datalekken in het onderwijs is nog niet veel informatie. Een groot datalek wat veel media-
aandacht kreeg is de Edu-IX hack. Dit wordt hieronder besproken.
Hack Edu-Ix bij Stichting Eduroute
Wie: Stichting Eduroute
Wat: naam, adres, woonplaats, geboortedatum, e-mailadres en het versleutelde wachtwoord van
accounts
Waar: de centrale database van verschillende digitale leersystemen Edu-IX
Wanneer: 15 juli 2016 in de ochtend.
Hoe: gehackt
Melding aan de AP: Ja
Melding aan de betrokkene: Ja (15 en 16 juli 2016)
In de ochtend van 15 juli 2016 is er ingebroken op de centrale database van Edu-IX75. Edu-IX is een
platform wat het mogelijk maakt voor leveranciers om digitale leermiddelen beschikbaar te stellen
aan leerlingen. Deze database was in het beheer van stichting Eduroute. Het lijkt erop dat er snel
gereageerd is vanuit Eduroute. Er is dezelfde dag nog gemeld is aan de AP en een gedeelte van de
betrokkenen. Nadat bekend was geworden dat er een lek aanwezig was is er een technische partner
van de stichting onderzoek gaan doen. Het lek is gedicht en een melding aan de AP is gemaakt. Ook
zijn alle wachtwoorden onbruikbaar gemaakt en werden alle gebruikers verplicht hun wachtwoord
te wijzigen. Om lekken in de toekomst te voorkomen is er overgestapt naar een ander platform en
worden er geen inloggegevens meer opgeslagen. Voor meer informatie zie de Memo van Van Dijk
Educatie76.
6.2.2 Overige incidenten
Hieronder wordt een tweetal incidenten besproken. De eerste is het datalek in het Anthony van
Leeuwenhoek ziekenhuis. Deze wordt een aantal keer genoemd in de interviews en wordt daarom
hier kort besproken. Het tweede incident gaat om een vermeend datalek uit de gemeente Almelo
75
Van Dijk Educatie (18-08-2016) Memo Update inzake hack bij stichting Eduroute. Geraadpleegd op https://www.vo-raad.nl/system/downloads/attachments/000/000/161/original/Memo-Eduroute-incident.pdf?1476443446 76
Van Dijk Educatie (18-08-2016) Memo Update inzake hack bij stichting Eduroute. Geraadpleegd op https://www.vo-raad.nl/system/downloads/attachments/000/000/161/original/Memo-Eduroute-incident.pdf?1476443446
38
wat na maanden onderzoek toch geen datalek bleek te zijn. Er zijn veel meer incidenten in de pers
geweest, maar deze leveren geen specifieke inzichten op en worden daarom hier niet besproken.
Datalek Anthoni van Leeuwenhoek ziekenhuis
Wie: Anthoni van Leeuwenhoek ziekenhuis
Wat: een harde schijf met medische onderzoeksgegevens van 781 patiënten
Waar: de auto van de medewerker
Wanneer: december 2015
Hoe: uit de auto gestolen
Melding aan de AP: Ja
Melding aan de betrokkene: Ja
Bij het Anthoni van Leeuwenhoek ziekenhuis is in december 2015 een harde schijf uit de auto van
een medewerker gestolen77. Deze harde schijf bevatte onderzoeksgegevens van 781 patiënten. De
diefstal zelf vond al plaats in december maar de medewerker heeft het pas gemeld in februari
201678. Op 3 maart 2016 zijn de 199 betrokkene die nog in leven waren geïnformeerd79.
Uit dit datalek blijkt wel dat het belangrijk is dat een medewerker zo snel mogelijk een lek meldt. Er
is vanuit het ziekenhuis besloten om het contract van de medewerker niet te verlengen79. De
precieze redenering hiervoor is niet bekend. Het roept de vraag op of dit geen negatief effect heeft
op eventuele toekomstige interne meldingen van datalekken van medewerkers. Als een medewerker
bang is de consequenties van een datalek te moeten dragen, kan het zijn dat hij/zij ervoor kiest om
dit niet intern te melden. Wellicht was deze medewerker ook bang voor (eventuele) consequenties
en is het daarom pas maanden later gemeld.
Een interessante kwestie die hier optrad is dat veel nabestaanden boos geworden zijn op het
ziekenhuis. Van de 781 betrokkene waren er nog 199 in leven. De nabestaanden zijn boos geworden
omdat hen niet gemeld is dat de gegevens van hun dierbare op straat lagen. Zij zijn niet gerechtigd
om deze informatie te ontvangen, de persoonsgegevens slaan immers niet op hen, maar toch is er
onrust over. Ondanks dat melden aan nabestaande niet toegestaan is volgens de wet is het voor een
zorginstelling wellicht interessant om na te denken over hoe om te gaan met een dergelijke situatie.
Vermeend datalek Gemeente Almelo
Wie: Gemeente Almelo
Wat: 20 GB, onder meer het unieke Burger Service Nummer (BSN) van 282 personen
Waar: Computer van een medewerker
Wanneer: 2 mei tot 9 september
Hoe: malware plug in op computeraccount
77
Antoni van Leeuwenhoek. (3 maart 2016). ‘Externe harde schijf onderzoeker Antoni van Leeuwenhoek ontvreemd’ [Persbericht]. Geraadpleegd van: https://www.avl.nl/topmenu/over-avl/nieuws/persbericht-externe-harde-schijf-onderzoeker-antoni-van-leeuwenhoek-ontvreemd/ 78
Van der Beek, P. (7 maart 2016). ‘Patiëntdata op straat na diefstal harde schijf’. Computable. geraadpleegd van: https://www.computable.nl/artikel/nieuws/zorg/5715873/250449/patientdata-op-straat-na-diefstal-harde-schijf.html 79
Steenbergen, E. (4 maart 2016). ‘Gegevens kankerpatiënten gestolen’. NRC. geraadpleegd van https://www.nrc.nl/nieuws/2016/03/04/gegevens-kankerpatienten-gestolen-1598045-a1087864
39
Melding aan de AP: Ja
Melding aan de betrokkene: Ja (voor het lek) en ja (toen bleek dat er niets aan de hand was)
Op 9 september kwam er in het nieuws naar voren dat er een groot datalek geweest was bij
gemeente Almelo. Het zou gaan om meer dan 20 GB aan data die gestolen zou zijn tijdens
gedurende een periode van een paar maanden. Dit lek was ontstaan door een malware plug-in
geïnstalleerd op de computeraccount van een medewerker. Op 9 september verscheen het bericht
in de media met de mededeling dat het datalek gemeld is aan de AP80. Tevens is er in september
aangifte gedaan bij de politie vanwege computervredebreuk. Op 22 september is er melding aan de
betrokkenen gedaan81. Inmiddels is er grote kritiek op de gemeente vanuit de pers en collega
gemeentes zoals Tubbergen. Een aantal collega gemeentes uit kritiek over dat zij erg laat op de
hoogte gesteld zijn terwijl een deel van de gegevens over hun burgers ging (Almelo trad voor hen op
als bewerker). Rond 8 november bleek er uit onderzoek van de politie dat er toch geen datalek
plaats gevonden heeft82. De gemeente heeft de betrokkenen hierover op dinsdag 8 november per
brief geïnformeerd83. Almelo noemt als obstakel in het onderzoek dat de logfiles van de firewall al
weggegooid waren toen het onderzoek nog liep84. Dit wordt ook in de interviews genoemd (zie
sectie 8.3.5).
Dit voorval in Almelo laat zien dat het voor een organisatie erg belangrijk is om de feiten op een rijtje
te hebben. Er is veel kritiek geweest op de gemeente. Zo zouden ze erg laat de betrokkenen hebben
geïnformeerd en de andere gemeentes die verantwoordelijke waren voor de data (hier trad Almelo
op als bewerker) niet of te laat ingelicht hebben. Uiteindelijk bleek het dus loos alarm te zijn, maar
toen was alle (reputatie)schade al gedaan. Dit toont aan dat het essentieel is voor een instelling dat
ze snel moeten achterhalen wat er aan de hand is voordat er actie ondernomen wordt.
80
RTVOost (09-09-2016). 20 GB aan persoonsgegevens gestolen van gemeente Almelo.RTVOost. Geraadpleegd van http://www.rtvoost.nl/archief/default.aspx?nid=251981 81
Gemeente Almelo (22-10-2016). Gemeente informeert betrokkenen over datalek. Website gemeente Almelo. Geraadpleegd van https://www.almelo.nl/gemeente-informeert-betrokkenen-over-datalek 82
Politie Almelo (08-11-2016) Geen data-lek bij Gemeente Almelo.Nieuwsbericht op de website van de politie. Geraadpleegd van https://www.politie.nl/nieuws/2016/november/4/02-almelo-geen-data-lek-bij-gemeente-almelo.html 83
Gemeente Tubbergen (08-11-2016) Politie rondt onderzoek af: geen persoonsgegevens gelekt. Gemeente Tubbergen. Geraadpleegd van: https://www.tubbergen.nl/politie-rondt-onderzoek-af-geen-persoonsgegevens-gelekt 84
Tubantia (10-12-2016) Affaire datalek kostte Almelo 35.000 euro. Tubantia. Geraadpleegd van http://www.tubantia.nl/regio/almelo-en-omgeving/almelo/affaire-datalek-kostte-almelo-35-000-euro-1.6725812
40
7 Analyse Meldingsformulier In dit hoofdstuk wordt het meldingsformulier om te melden aan de AP besproken. Voor het melden
aan de betrokkene is geen standaard formulier opgesteld. Wel zijn er vanuit de WBP eisen gesteld
aan de inhoud (zie sectie 4.5). Het meldingsformulier voor een melding aan de AP is te vinden in
Appendix A voor het formulier uit de beleidsregels en Appendix B voor het webformulier.
De melding aan de AP gaat via een webformulier in het meldloket op de website van de AP85. Als
eerste moet er een keus gemaakt worden uit een nieuwe melding maken, een bestaande melding
wijzigen of een melding intrekken. Nadat deze keuze gemaakt is word de melder doorgestuurd naar
het formulier wat voor hem/haar relevant is.
Als het voor organisaties niet mogelijk is om te melden via het webformulier dan is het ook mogelijk
om een melding te maken via fax. Voor wat er vermeldt moet worden in de fax wordt er
doorverwezen naar het formulier achter in de beleidsregels Meldplicht Datalekken (zie appendix B)
86.
7.1 Inlog webformulier Voor het melden van een datalek op basis van de meldplicht TW (zie sectie 5.2) moest een
organisatie inloggen op de website. Dit betekende dat alle organisaties een inlogcode nodig hadden.
Er is door de AP gekozen voor een open webformulier. Dit formulier is voor iedereen toegankelijk en
een melding kan gemaakt worden zonder in te loggen. Waarom er bij het melden op basis van de
meldplicht TW wel ingelogd moest worden en de AP nu gekozen heeft om dat niet te doen is
onduidelijk.
Het inloggen zorgt er wel voor dat een organisatie altijd geauthentiseerd was bij de ACM. De AP
heeft op dit moment, voor zover bekend, geen manier om te controleren of een melding
daadwerkelijk van een organisatie komt. Het zou dus mogelijk zijn voor iemand die de organisatie
schade wenst te doen een valse melding te doen bij de AP in de hoop een onderzoek uit te lokken.
Of iemand die de AP schade toe wenst kan een grote hoeveelheid nep-meldingen maken. Het is dan
aan de AP om uit te zoeken of de meldingen oprecht of nep zijn, wat natuurlijk veel tijd en geld kost.
Momenteel lijkt het erop dat de enige beveiliging van het webformulier is dat er een vinkje
onderaan gezet moet worden dat een persoon verklaard bevoegd te zijn om een melding te doen en
dat deze juist is. Daarnaast gebruikt de AP een Captcha systeem.
Het is onduidelijk hoe de AP omgaat met eventuele valse meldingen en of de AP ook bevoegd is om
actie te ondernemen op valse meldingen. In de beleidsregels geeft de AP wel aan in de toekomst te
gaan kijken naar authenticatiemiddelen87.
85
Meldloket AP te vinden op https://datalekken.autoriteitpersoonsgegevens.nl 86
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 87
Pg 30 beleidsregels van de AP m.b.t. de Meldplicht Datalekken Publicatie 15 december 2015, gewijzigd op 6 juli 2016. Bekeken op 08-02-2017
41
7.2 Wijzigen van een melding Dit heeft wel als gevolg dat er geen gegevens opgeslagen worden. Voor het wijzigen van een melding
heeft de melder het nummer nodig wat toegewezen is. Dit nummer is echter alleen ter referentie
voor de AP en haalt niet de oude melding op. De melder kan niet alleen de gewijzigde informatie in
kan vullen, maar is vereist het gehele formulier weer in te vullen. Hier is het dus essentieel dat de
melder de vorige melding bij de hand heeft. Tevens kost het wijzigen van een melding dus meer tijd
dan alleen gewijzigde informatie doorgeven, de melder moet ook alle ‘oude’ informatie opnieuw
invullen. Dit zorgt er voor dat de AP de hele melding weer door moet kijken om te zien wat er
gewijzigd is. Wellicht is dit de bedoeling zodat behandelaar van de melding van de AP opnieuw een
volledig beeld krijgt, maar het zou ook voor onnodig werk voor de AP kunnen zorgen.
7.3 Verandering van het formulier Uit de interviews (zie sectie 8.3.9) bleek dat het webformulier aan verandering onderhevig is
geweest. Het meldingsformulier uit de beleidsregels Meldplicht Datalekken van de AP noemt 28
vragen. Dit komt niet overeen met het aantal vragen in het webformulier. Naast dat de meeste
vragen anders geformuleerd zijn en het webformulier een andere indeling aanhoudt is er ook een
inhoudelijk verschil. Zo is er een aantal nieuwe vragen toegevoegd:
Vond de inbreuk plaats in een verwerking die is uitbesteed aan een andere organisatie?
Naam van de organisatie waaraan de verwerking is uitbesteed,
Wanneer werd de inbreuk ontdekt?
Wat is de aard van het incident waarbij er een inbreuk op de beveiliging van
persoonsgegevens is geweest?
Bij de vraag “Heeft de inbreuk betrekking op personen in andere EU-landen?” is een “ja,
namelijk” vraag toegevoegd.
Ook is er een aantal veranderingen gemaakt in een aantal al bestaande vragen. Deze vragen zijn in
het webformulier niet genummerd maar komen overeen met vragen uit het meldingsformulier
achter in de beleidsregels. Deze is wel genummerd. Daarom wordt in de tekst hieronder verwezen
naar vraagnummers uit het meldingsformulier in de beleidsregels. De veranderingen zijn alleen in
het webformulier gemaakt.
Een van de veranderingen is dat de optie om ‘nog niet bekend’ in te vullen bij vraag 19 is verwijderd.
Vraag 15 i. is opgesplitst in meerdere opties over welke bijzondere persoonsgegevens het om gaat
en er worden meer verschillende soorten bijzondere persoonsgegevens genoemd.
Het formulier op de website wordt dus wel aangepast. Er wordt niet gemeld dat het formulier
aangepast is. Als een organisatie dus niet bij het webformulier kan en niet op de hoogte is van
eventuele wijzigingen dan moet de organisatie het formulier gebruiken uit de beleidsregels, zoals
aangegeven door de AP, en faxen. Deze organisatie doet dan een andere melding dan hij zou doen
via het webformulier. Het is natuurlijk aan de AP om te beslissen of dit schadelijk is. Mocht de AP
een fax binnenkrijgen met een verouderd meldformulier kunnen ze natuurlijk contact opnemen met
de desbetreffende organisatie om aanvullende informatie op te vragen. Dit vergt wel een
tijdsinvestering van de AP.
42
7.4 Verplichte vakken Een aantal vragen heeft vervolgvragen, vaak in de vorm van ‘anders, namelijk...’. Deze vervolgvragen
hoeven volgens het formulier uit de beleidsregels alleen ingevuld te worden als er op een bepaalde
vraag ja of nee geantwoord is. Bijvoorbeeld de vraag of er aan de betrokkene gemeld is, en of dat
gaat gebeuren (vraag 18). Volgens het formulier in de beleidsregels moeten vragen 19, 20, 21 en 22
beantwoord worden als er gemeld gaat worden en vraag 23 als dat niet gebeurd. In het
webformulier is het echter zo dat alle vragen verplicht zijn te beantwoorden. Dus als een organisatie
besluit niet te melden aan de betrokkene moet hij alsnog de corresponderende vragen van vraag 19,
20, 21 en 22 beantwoorden.
43
8 Interviews Om te onderzoeken hoe onderwijsinstellingen in de praktijk met de Meldplicht Datalekken omgaan
zijn er interviews gehouden. In dit hoofdstuk worden de interviews besproken. Allereerst wordt er in
sectie 8.1 de opzet van de interviews besproken. In sectie 8.2. wordt de voorbereiding van de
interviews besproken. Als laatste worden in sectie 8.3 de resultaten van de interviews besproken.
8.1 Interview opzet Het interview (zie Appendix C) is opgesteld aan de hand van de beleidsregels Meldplicht Datalekken
van de AP88. De interviews bevatten open vragen. Na de algemene vragen is elk interview gestart
met het opzetten van de tijdlijn waarin de onderwijsinstelling de procedure voor de Meldplicht
Datalekken geïmplementeerd heeft.
Na het eerste interview bleek het onderwerp bewerkersovereenkomsten niet voor te komen in het
interview en is dit onderwerp toegevoegd. Naar aanleiding van een lezing over de Meldplicht
Datalekken bij de NS89 is er een vraag over persvoorlichting toegevoegd. Deze is toegevoegd na het
eerste interview. Ook is er na het eerste interview de vraag over de grootste drempels ervaren door
de instelling toegevoegd aan het interview om de geïnterviewde kans te geven om over het
algemeen zijn/haar indruk te geven. Na enkele interviews bleek de vraag over PIA’s niets toe te
voegen aan het onderwerp van de Meldplicht Datalekken en deze vraag is in latere interviews
daarom weggelaten.
8.2 Interview voorbereiding
8.2.1 Vooraf gevonden/gekregen
Voorgaand aan de interviews is er gekeken op de websites van de onderwijsinstelling of er beleid of
andere informatie over het privacybeleid of specifiek informatie over beleid rondom de Meldplicht
Datalekken openbaar beschikbaar was. Naar aanleiding hiervan zijn er eventueel vragen gesteld.
Van één onderwijsinstelling (4)(zie sectie 8.2.1) was het privacybeleid openbaar beschikbaar. Dit gaf
een duidelijke structuur weer waar in het interview vragen over gesteld konden worden. Door de
korte duur van het interview met deze onderwijsinstelling gaf de online beschikbare informatie een
goede aanvulling. Een andere onderwijsinstelling (5) heeft hun privacy awareness project online
staan. Dit heeft geen nuttige informatie opgeleverd voor in het interview. De rest van de instellingen
hadden geen of sterk verouderde informatie online staan. Enkele instellingen (1 en 5) hebben ook
schriftelijk hun procedure beschikbaar gesteld. Deze zijn niet voor publicatie en zijn gebruikt als
naslagwerk.
8.2.2 Geïnterviewde en geheimhouding
In verband met de gevoelige aard van het onderwerp is er gekozen om de identiteit van de
onderwijsinstellingen niet bekend te maken. De onderwijsinstellingen worden een nummer
toegewezen. De interviews zijn gehouden met een achttal onderwijsinstellingen. De
onderwijsinstellingen houden zich allen bezig met hoger en/of beroepsonderwijs. Onder de 8
88
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 89
J. Mager (NS), (04-11-2016), Een datalek: hoe meld je dat? Proces en Praktijk @ NS, gepresenteerd op Infosecurity 2016, Utrecht
44
instellingen bevinden zich 3 universiteiten, 2 hoge scholen, 2 beroepsonderwijsinstellingen en een
onderwijs- en zorginstelling. Een enkele onderwijsinstelling (8) houdt zich daarnaast ook bezig met
het voortgezet onderwijs.
Door de kleine steekproef is het niet mogelijk om statistische conclusies te trekken die onderscheid
maken tussen de verschillende soorten hoger en beroepsonderwijs. Bij een aantal onderwerpen is
een trend opgevallen, deze trend wordt bij het onderwerp zelf besproken.
45
8.3 Interview resultaten In deze sectie worden kort de resultaten van de interviews besproken per onderwerp. Bij de meeste
onderwerpen zijn de resultaten samengevat en worden niet uitgebreid per instelling besproken. Bij
enkele onderwerpen worden wel per onderwijsinstelling de resultaten besproken omdat dit bijdraagt
aan de resultaten. Een enkele keer kunnen de uitwerkingen teruggevonden worden in de appendix,
dit is in de tekst aangegeven.
Er zijn 8 onderwijsinstellingen geïnterviewd. Hieronder worden de eigenschappen van de
verschillende onderwijsinstellingen besproken
Onderwijsinstelling 1
> 4500 medewerkers
Hoger onderwijs, universiteit
Onderwijsinstelling 2
> 2000 werknemers
Hoger onderwijs, hogeschool
Onderwijsinstelling 3
> 8000 medewerkers
Hoger onderwijs, universiteit
Naast een onderwijsinstelling is deze instelling ook een zorginstelling.
Onderwijsinstelling 4
> 2000 medewerkers
Hoger onderwijs, universiteit
Onderwijsinstelling 5
>2000 werknemers
Hoger onderwijs, hogeschool
Onderwijsinstelling 6
>2000 medewerkers
Hoger onderwijs, universiteit
Onderwijsinstelling 7
>2000 medewerkers
Beroepsonderwijs, MBO
Onderwijsinstelling 8
>2000 medewerkers
Beroepsonderwijs, MBO en voortgezet onderwijs.
Hierna zal er naar de instellingen gerefereerd worden aan de hand van hun nummer.
46
8.3.1 Ondersteunende organisaties
In de interviews wordt een aantal keer een aantal ondersteunende organisaties genoemd. Deze
organisaties worden hieronder kort toegelicht.
Kennisnet is een organisatie die scholen ondersteunt met ICT. Kennisnet focust op het
primair onderwijs, voortgezet onderwijs en het middelbaar beroepsonderwijs90.
Surf ondersteunt scholen in het hoger onderwijs met ICT91.
MBO raad is de brancheorganisatie van de onderwijsinstellingen in het middelbaar
beroepsonderwijs en de volwasseneneducatie92.
saMBO-ICT is een organisatie die zich richt op de ondersteuning van MBO-instellingen op het
gebied van ICT93
Overige termen worden vermeld in de lijst met termen voorin deze scriptie.
8.3.2 Tijdlijn van de implementatie van de Meldplicht Datalekken.
Zoals beschreven in hoofdstuk 4 is op 4 juni 2015 de wetswijziging aangenomen met daarin de
Meldplicht Datalekken. Op 8 dec 2015 publiceerde de AP de beleidsregels voor de Meldplicht
Datalekken.
Figuur 2: Tijdlijn van opzetten procedure en aanpassen bewerkersovereenkomsten per instelling
Alle instellingen geven aan dat zij voor het eerst van de Meldplicht Datalekken hoorden via een
ondersteunende organisatie (zie sectie 8.3.1). Deze ondersteunende organisaties hebben een grote
90
Voor meer informatie zie: www.kennisnet.nl 91
Voor meer informatie zie: www.surf.nl 92
Voor meer informatie zie: www.mboraad.nl 93
Voor meer informatie zie: www.sambo-ict.nl
Instelling 1
Instelling 2
Instelling 3
Instelling 4
Instelling 5
Instelling 6
Instelling 7
Instelling 8
jan feb mrt apr mei jun jul aug sept okt nov dec jan feb mrt apr mei jun jul aug sept okt interview
2015 2016
procedure opzetten
bewerkersovereenkomsten
Tussentijds protocol
47
rol gespeeld in de voorlichting rondom de Meldplicht Datalekken. Ook noemen verschillende
instellingen in werkgroepen van deze ondersteunende organisaties gezeten te hebben voor het
opstellen van voorbeeld procedures en bewerkersovereenkomsten.
Tussen de Hogescholen en universiteiten zit geen duidelijk verschil qua starten met inrichten van de
Meldplicht Datalekken. Wel is te zien dat beide beroepsonderwijsinstellingen (7 en 8) klaar waren
voor 1 januari 2016. Hierbij moet wel de notitie gemaakt worden dat instelling 8 een voorlopig
procedure heeft staan, en daar in de toekomst nog een wijziging gaat aanbrengen.
8.3.3 Bewerkersovereenkomsten
Zoals te zien in figuur 2 (zie sectie 8.3.2) zijn de meeste instellingen nog niet volledig klaar met het
afsluiten/aanpassen van bewerkersovereenkomsten. Alleen instelling 7 geeft aan al klaar te zijn met
alle bewerkersovereenkomsten.
Er is veel ondersteuning geweest vanuit SURF en saMBO met voorbeeld bewerkersovereenkomsten.
Ook heeft SURF een aantal bewerkersovereenkomsten afgesloten met bewerkers namens
onderwijsinstellingen die gebruik maken van de diensten of producten van die bewerkers.
Diverse instellingen geven aan dat door de Meldplicht Datalekken er nu wel veel aandacht om
bewerkersovereenkomsten op te gaan zetten en daar medewerkers bewust van te maken. Een
aantal instellingen (2, 7 en 8) had eerder nog geen of beperkte bewerkersovereenkomsten
vastgesteld. Dit is een voorbeeld van hoe de Meldplicht Datalekken een positieve invloed heeft
gehad op de algemene beveiliging. Voordat de Meldplicht Datalekken van kracht werd moesten er
namelijk al afspraken gemaakt worden met bewerkers over de verwerking van persoonsgegevens.
De wetswijziging heeft alleen vastgesteld dat je daar de Meldplicht Datalekken ook in moet
verwerken. Deze onderwijsinstellingen had dus het afsluiten van bewerkersovereenkomsten niet
overal op orde en is dat nu gaan verplichten en op orde brengen in het kader van de Meldplicht
Datalekken.
Instelling 6, 7 en 8 hebben moeilijkheden ondervonden doordat er ook afspraken gemaakt moeten
worden met onderleveranciers. Met onderleveranciers worden organisaties bedoeld die als
leverancier optreden voor een van de leveranciers van een onderwijsinstelling. Instelling 8 geeft aan
dat er soms wel een hele keten aan onderleveranciers aanwezig is. Het uitpluizen van wie nu precies
de data verwerkt en wat voor afspraken er gemaakt kunnen en moeten worden kost erg veel tijd.
Dat er moeilijkheden ondervonden worden met deze onderleveranciers is bijzonder omdat meestal
in een bewerkersovereenkomst wordt opgenomen dat een leverancier zelf verantwoordelijk is voor
het correct bewerken van data, ook door zíjn bewerkers. Instelling 7 geeft aan dat het steeds lastiger
wordt om bewerkersovereenkomsten snel af te sluiten. Bewerkers willen hun eigen
bewerkersovereenkomsten gebruiken of een standaard bewerkersovereenkomst willen gebruiken.
Deze kunnen echter niet altijd een op een zomaar overgenomen worden en moeten alsnog grondig
bekeken worden.
48
8.3.4 Beleidsregels Meldplicht Datalekken van de AP
De meeste instellingen geven aan dat de beleidsregels van de AP duidelijk zijn94. Instellingen 1, 2, 3,
5, 7 en 8 geven aan dat de publicatie van de beleidsregels (8 december 2015) laat was om de
procedure voor de Meldplicht Datalekken klaar te hebben op 1 januari. De meeste instellingen
hebben hierdoor de consultatieversie gebruikt. De consultatie versie was natuurlijk nog niet
compleet waardoor er later nog een keer naar gekeken moest worden. Een andere instelling (6)
geeft aan dat zij informatie van collega’s en ondersteunende organisaties zoals SURF gehaald heeft
in plaats van uit de beleidsregels (die toen nog niet beschikbaar waren). Een enkele instelling (2)
geeft aan dat doordat de beleidsregels zo laat waren het implementeren van de procedure voor de
Meldplicht Datalekken ook vertraagd is.
8.3.5 Aantal meldingen aan de AP en de aard van de melding
In deze sectie wordt het aantal meldingen gemaakt aan de AP besproken. Meldingen aan de
betrokkene worden niet meegenomen hierin.
Onderwijsinstelling Aantal meldingen aan de AP Meest voorkomende soort meldingen
1 11 (37 incidenten ) verloren of gestolen laptops of usb sticks.
2 1 Phishing mail/malware.
3 +- 20 -
4 Geen melding wel incidenten. Verloren apparaten, versturen van mail, wachtwoord bekend bij verkeerd persoon
5 1 (8 incidenten) -
6 0 (8 incidenten) Incidenten gevonden door ethical hacking. Technische beveiligingslekken
7 0 ( een aantal incidenten) -
8 0 (1 incident) - Tabel 5: Aantal meldingen per onderwijsinstelling en de meest voorkomende soort meldingen
Er blijkt een groot verschil in aantallen meldingen. Instelling 1 heeft 37 incidenten gehad heeft
waarvan er 11 gemeld zijn aan de AP. Niet alleen het aantal incidenten maar ook het aantal
meldingen ligt veel hoger dan de aantallen die genoemd worden bij andere onderwijsinstellingen.
Hier kunnen verschillende verklaringen voor zijn.
1. De instelling heeft een minder goede beveiliging van haar systemen en heeft daarom meer
lekken. Dit bleek echter niet uit het interview. Ook bleek uit het interview dat het ging bijna
allemaal incidenten rondom het verliezen van een laptop/usbstick.
2. De instelling heeft een betere detectie en/of internet meldingsprocedure dan andere instellingen
en heeft daarom een hoger aantal incidenten. Uit andere interviews blijken dat sommige
instellingen weinig tot geen procedures hebben om verloren laptops/usbsticks/telefoons te
linken aan datalekken. Vaak ligt de taak van het vervangen van deze apparaten bij een facilitaire
dienst. Deze is vaak niet ingelicht over de Meldplicht Datalekken en weet niet dat een incident
gemeld moet worden intern.
94
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015
49
3. De instelling heeft een strengere inschatting van wanneer er wel en niet gemeld moet worden.
Dit kan afhankelijk zijn van de soort incidenten (e.g. verloren telefoon of wachtwoord hacken)
maar ook degene die de incidenten beoordeeld. In sommige gevallen is dit een groot team,
andere keren wordt het met 2 of 3 personen beoordeeld en een enkele instelling beoordeeld
deze afwegingen met 1 persoon.
Uit de interviews bleek dat de meest waarschijnlijke verklaringen hiervoor een combinatie van
verklaring 2 en 3 is. Zo meldt de onderwijsinstelling 1 met veel meldingen bijna exclusief verloren
telefoons/laptops/usbsticks terwijl andere onderwijsinstelling daar of geen meldpunt voor hebben
(instelling 6 en 8) of standaard in hun beslisboom verloren telefoons/laptops/usbsticks niet melden
(instelling 5). Punt nummer 1 is niet te achterhalen uit een interview, hiervoor moet een ander soort
onderzoek uitgevoerd worden. Het kan dus zijn dat punt 1 nog wel een rol speelt, maar dit zal verder
onderzoek uit moeten wijzen.
Instelling 5 geeft aan dat soms een melding zo laat dat je niet meer kan achterhalen wat er nu
precies gebeurd is omdat er geen logging meer van is. Instelling 5 geeft aan formeel dan te moeten
melden, maar omdat zij niet meer kunnen achterhalen wie de betrokkene was en om welke data het
ging, beslissen zij om dat niet te doen. Instelling 5 vind het onvoldoende zinvol om te melden, want
volgens hen kan de AP er toch niets mee. “Ik ga niet melden omwille van het proces, want daar gaan
ze toch niets mee doen.”
Hier ligt dus een beslissing van een FG/Security Officer om meldingen die hij/zij onnuttig acht niet te
melden. In vergelijking met een instelling, die afweging anders maakt en dus veel meer meldingen
gedaan heeft kan dit dus een scheef beeld opleveren. Het wordt dan appels met peren vergelijken.
50
8.3.6 De interne meldingsprocedure.
In deze sectie wordt een overzicht besproken van de verschillende procedures bij de instellingen. Er is
een schema (zie figuur 3) opgesteld waarin de verschillende stappen die gevonden zijn in de
procedures van de instellingen worden besproken. Hier is voor gekozen om het overzicht te
behouden. De uitwerking van de procedures per instelling zijn te vinden in appendix D.
In de verschillende interviews zijn de procedures voor het behandelen van een (mogelijk) datalek
van de verschillende instellingen besproken. Hieronder wordt er onderscheid gemaakt tussen
verschillende stappen van de procedure.
A. Detectie van een datalek
Deze categorie valt onder datalekdetectie, zoals eerder genoemd (zie hoofdstuk 1) valt dat niet
binnen de bereik van deze scriptie. Toch is een aantal dingen opgevallen tijdens de interviews. Er
C. Informatie verzamelen en dichten lek.
A. Detectie van een datalek
C1
Verzamelen en onderzoeken van de lekken e.g. FG/CISO die
onderzoekt. Soms ligt deze verantwoordelijkheid ook bij
een CERT team (of de melding daar nu binnenkomt of niet)
D. Afwegen van melding of niet door
D1
FG/Security
Officer alleen
D2
Onderzoeksteam
Zelfde als bij C
D4
CVB onder advies
van een
onderzoeksteam
D3
Nieuw team e.g. grote
teams bestaande uit
juristen, communicatie,
calamiteitenteam
A1
IT/Technische afdeling
A2
Degene die gelekt heeft
e.g. “ik heb een verkeerde
email verstuurd”.
A3
Extern
e.g. pers of via
responsible disclosure
B. Meldpunt voor datalekken.
E.g. servicedesks/ It helpdesks, e-mailadres, CERT teams
F.
Escaleren naar crisis- of
calamiteiten-team / Pers
C2
Dichten van het lek, evt.
blokkeren etc.
G.
Feedback loop. Hoe zorgen we
dat het niet nogmaals gebeurd
E. Het maken van de
melding
- AP
- Betrokkene
Figuur 3: Stappenschema van een interne procedure
51
kunnen verschillenden bronnen van datalek detectie zijn. Zo kan dit iemand zijn van een IT of
technische afdeling (A1) zijn die tijdens zijn werkzaamheden op een datalek stuit. Zo geeft instelling
6 bijvoorbeeld aan dat het opzoeken van datalekken specifiek onder de taken van de technische
afdeling valt. Het kan ook zijn dat degene die het lek veroorzaakt heeft het lek aandraagt (A2).
Bijvoorbeeld een medewerker die zijn telefoon verliest en daar een interne melding van maakt. Of
het versturen van een email naar verkeerde geadresseerden. De derde optie zou zijn dat het lek van
buitenaf komt. Daarbij kan gedacht worden aan een journalist die een datalek vindt of ‘responsible
disclosure’.
Deze scriptie houdt zich niet bezig met datalekdetectie, maar binnen dit onderwerp viel een aantal
dingen op en wordt daarom wel genoemd. Het kan zijn dat de lijst met mogelijke
datalekdetectiebronnen veel langer is, maar deze drie kwamen langs in de interviews.
De voornaamste reden om deze detectiebronnen toch te noemen is dat in een aantal interviews
opviel dat sommige van de categorieën genoemd in A niet geadresseerd werden binnen de
organisatie. Zo focussen instellingen 6 en 8 voornamelijk op technische detectie (A1) maar is er niets
ingericht voor mensen die een interne melding zouden willen maken via A2. Het gevaar hiervan is
dat medewerkers een datalek wel opvalt, maar zij zich niet bewust zijn van de mogelijkheid om te
melden. Hierdoor kan de organisatie een datalek missen, niet omdat het niet opgevallen was, maar
omdat er geen meldmogelijkheid was.
B. Binnenkomst voor de interne melding.
Over het algemeen bleek er voor het punt waar interne meldingen binnen komen gekozen te
worden voor bestaande structuren. Zo werd genoemd dat als je je laptop kwijt raakt je toch naar de
servicedesk gaat en het een logische stap is om dan daar ook een eventueel datalek te adresseren.
Andere instellingen gaven aan dat het voor veel mensen de logische keuze was om met een lek, wat
vaak IT gerelateerd is, naar een It of service desk te stappen. Dit kunnen algemene servicedesks zijn,
maar in sommige gevallen ook specifiek IT-servicedesks. Een belangrijke punt om voor een vorm
servicedesk te kiezen is dat deze er al zijn en de medewerkers ervaring hebben.
Een enkele instelling (6) heeft er bewust voor gekozen geen servicedesk te gebruiken. De reden
hiervoor is de tijdsdruk. Instelling 6 geeft aan dat er anders te veel tijd verloren gaat. Doordat een
datalek direct bij een CERT binnenkomt wordt het vanaf het begin door mensen met IT expertise
bekeken. Op deze manier hoopt instelling 6 dat een ernstig datalek minder snel afgedaan worden als
niet ernstig.
Instellingen 1, 2, 3,5 gebruiken de servicedesk als een eerste filter. De servicedesks hebben
vragenlijsten waarbij bepaald word of een binnengekomen incident ook een datalek is. In geval van
twijfel worden het incident altijd doorgestuurd. Alleen instelling 7 laat de servicedesk alleen notitie
maken van het incident en dan doorsturen. Instelling 8 heeft geen duidelijk meldpunt voor
incidenten.
C. Onderzoek naar het lek en dichten van het lek
C1 Onderzoek naar het lek en het verzamelen van informatie
Nadat een incident is binnengekomen is moet er bepaald worden of dit ook daadwerkelijk een
datalek is. Alle instellingen hebben een onderzoeks-stap in hun procedure. Door wie deze
52
onderzoeks-stap uitgevoerd wordt verschild per instelling. In onderstaande tabel staat per tabel
beschreven wie er verantwoordelijk is voor het onderzoek naar het datalek.
Onderwijsinstelling Diegene die onderzoek doet.
1 CERT team, bestaande uit technische experts. Hebben wel een mogelijkheid
om een juridische afdeling in te schakelen
2 Security Officer/FG
3 FG en Security Officer
4 CERT team
5 Security Officer/ FG + hoofd informatiebeveiliging + informatie analist
6 CERT + eigenaar van de dienst
7 Informatie manager
8 Security Officer
Tabel 6: Diegene die onderzoek doet per onderwijsinstelling
Instellingen 6 betrekt de eigenaar van de data ook in het onderzoek omdat deze zijn eigen systemen
vaak het best kent.
Een aantal instellingen geeft aan dat er in het onderzoek soms lastige situaties ontstaan. Instelling 5
geeft aan dat soms een interne melding zo laat komt dat je niet meer kan achterhalen wat er nu
precies gebeurd is omdat er geen logging meer van is. Instelling 1 geeft contact met de ‘lekker’ als
een duidelijk leerpunt aan voor hun onderzoeksteam. Als voorbeeld noemt instelling 1 een inbraak
bij een medewerker thuis waarbij apparatuur gestolen was. Een van de onderzoekers probeerde te
achterhalen welke data er wel en niet op stond. Maar de medewerker had net een inbraak in zijn
huis gehad terwijl deze ook thuis was, dus die kon niet echt helder nadenken. Doordat er dan
tijdsdruk op zit kan een onderzoeker heel erg gefocust zijn, en dat komt een dergelijke situatie niet
ten goede. Zo kan een medewerker ‘schuldig’ aan een datalek ook goed een slachtoffer zijn van dus
bijvoorbeeld een inbraak. Dit is iets waar zeker rekening mee gehouden moet worden.
C2 Dichten van het lek
Een aantal instellingen (5, 7, 8) noemt deze stap specifiek als een prioriteit voordat er onderzoek
gedaan wordt. Bij instelling 2 loopt de procedure parallel. De Security Officer/FG dicht het lek terwijl
het juristenteam het datalek verder afhandelt.
Doordat het oplossen van een datalek voorrang heeft kan het zijn dat er data nuttig voor het
onderzoek verloren gaat bij het oplossen. Zo noemt instelling 2 een voorbeeld van een virus
melding. Als zij melding krijgen van een virus melding dan schonen zij eerst de apparatuur op en
zetten een back-up terug. Instelling 2 noemt dan een grote afhankelijkheid van de eigenaar van de
apparatuur om te achterhalen welke data er op de apparatuur stond. Zij maken de afweging over of
dit een datalek was dan op basis van die informatie. Hierin loop je als instelling natuurlijk het risico
dat een eigenaar zich niet meer herinnerd dat er nog een lijstje met persoonlijke informatie op de
laptop stond. Instelling 2 geeft aan dat er geen tijd is om bij elk geval helemaal uit te zoeken om wat
voor virus het gaat, welke data deze aangetast heeft en of dat überhaupt het geval is.
53
D. Beslissing maken over het maken van de melding aan de AP en betrokkene
Veelal ligt de beslissing om te melden aan de AP deze beslissing bij het CVB op advies van het
onderzoeksteam. Instelling 1 geeft aan dat hun CERT team met meerdere mensen een afweging
maakt, omdat er nu eenmaal veel verschillende perspectieven zijn. Instelling 1 zegt dat deze
beslissing eigenlijk niet bij één persoon kan liggen.
Er zit een groot verschil in wie (het advies voor) de beslissing voor de melding aan de AP maakt. Dit
kan, naast het CVB, een technisch team zijn, veelal CERT teams, of een juridische afdeling of een mix
hiervan. Een enkele keer (instelling 8) wordt deze beslissing door één persoon gemaakt.
De beslissing of er een melding gedaan word aan de betrokkene ligt bij alle instellingen bij hetzelfde
orgaan die bepaald of er gemeld gaat worden aan de AP (zie sectie 8.3.7.2). Instelling 3 geeft aan dat
omdat deze instelling naast een onderwijsinstelling ook een zorginstelling is gaat het eigenlijk bij een
datalek altijd om bijzondere persoonsgegevens (zie sectie 3.3.1.1). Dat bekend dat er in ieder geval
gemeld moet worden, echt een afweging óf er gemeld moet worden is er dus vaak niet.
E. Het maken van een melding aan de AP en betrokkene
Het maken van de melding aan de AP wordt bij de verschillende instelling door verschillende
personen gedaan. In de tabel hieronder bevind zich een overzicht.
onderwijsinstelling Functie van degene die de melding maakt
1, 8 Security Officer/FG/eventuele andere taken
2, 6 Juridische afdeling
3 FG
4, 5 Secretariaat CVB
7 Niet bepaald Tabel 7: Degene die de melding aan de AP maakt bij de verschillende instellingen
Door wie de melding aan de betrokkenen gedaan wordt zit een groot verschil in bij de instellingen.
Instellingen 1, 3 en 6 laten de melding aan de betrokkene doen door de relatie van de betrokkene.
Dit kan de verzamelaar van de data zijn zoals een onderzoeker of bij instelling 3 bijvoorbeeld de
behandelende arts. Instelling 3 geeft ook aan dat deze zich vaak bezwaard voelen en ook graag zelf
hun betrokkene inlichten. Persoonlijke relatie speelt hier een grote rol. Alle drie de instellingen
geven aan deze keuze gemaakt te hebben omdat die personen vaak de beste relaties hebben met de
betrokkene en dus beter uitkunnen leggen wat er gebeurd is. Door de andere instellingen worden
diverse andere personen genoemd; Servicedesk (2), Crisisteam/communicatie (5), CERT (4), Security
Officer (8). Instelling 7 geeft aan dat er bij hen nog niet bepaald is wie deze melding zou moeten
doen. Zij hebben ook nog geen meldingen aan de betrokkene gehad.
Instelling 3 geeft aan dat hoe er gemeld wordt afhankelijk is van de situatie en wat er met de data
gebeurd is. Een lek waarbij er data openbaar is wordt anders behandeld dan dat er data naar een
verkeerde collega gestuurd wordt. Dit is iets wat diegene die meld zelf inschat, omdat deze de
betrokkene kent. Instelling 3 geeft als voorbeeld dat er een betrokkene met een taalprobleem was.
Er is toen besloten om niet een bericht te sturen, maar om dat oog in oog te doen, zodat er geen
misverstanden konden ontstaan en ook duidelijk gemaakt kon worden wat er aan de hand was.
Eén instelling (2) gaf aan een melding aan de betrokkene gedaan t hebben bij een lek. Deze melding
bestond uit een waarschuwing voor een mail met een virusbijlage. Ondanks dat het waarschijnlijk
54
erg nuttig was om medewerkers te waarschuwen voor dit virus was dit geen melding aan de
betrokkene, waar in bijvoorbeeld verteld werd dat er data gelekt was etc. De instelling beschouwde
dit echter wel als een melding aan de betrokkene. Hierbij was dus onduidelijkheid over wat een
melding aan de betrokkene precies inhoud.
F. Inschakelen calamiteitenorganisatie/Pers
Sommige instellingen (2, 3, 5,) hebben de mogelijkheid om in geval van een ernstig datalek het
afhandelen door te zetten naar een crisisteam. Dit crisisteam behandelt het datalek als een crisis. Of
dit gebeurt, verschilt per instelling. Instelling 2 stuurt het door naar het crisisteam als het mogelijk
interessant is voor de media. Bij Instelling 3 word het doorgestuurd als het primair functionele
proces geraakt wordt.
Er zijn scenario’s denkbaar waarbij het interessant kan zijn om een melding te doen naar de pers.
Geen van de geïnterviewde instelling heeft een dergelijk scenario meegemaakt. Sommige
instellingen (2, 3, 5) hebben wel rekening gehouden dat er wellicht een persmelding gedaan moet
worden in hun procedure.
Bij instellingen 2 en 5 is persvoorlichting gekoppeld aan het crisisteam en is dus alleen van
toepassing als het lek ook ernstig genoeg om door te geven aan het crisisteam.
Instelling 3 geeft aan alleen een melding naar de pers te doen als het een heel erg ernstig geval is.
Dit is op inschatting van diegene die ook de beslissing maakt om te melden aan de AP en
betrokkene. Ook noemt instelling 3 het gevaar van de dief op de hoogte stellen van dat hij/zij
waardevolle data gestolen heeft. Instelling 3 geeft als bijvoorbeeld dat iemand een laptop jat. De
kans groot is dat het de dief puur om de apparatuur gaat en niet om welke data erop staat. Als de
instelling dan vervolgens in de pers meldt dat er belangrijke data gestolen is, dan kan de dief
misschien opeens wel geïnteresseerd raken in die data.
G. feedbackloop en verbetermaatregelen.
In geval van een datalek is het natuurlijk ook interessant om te kijken waar het misgegaan is, en hoe het voortaan beter kan. Dit is een van de elementen die bij een aantal instellingen niet duidelijker aanwezig is. Instelling 1, 3, 5 en 6 besteden hier duidelijk aandacht aan. Instelling 1 geeft aan dat een datalek vaak duidt op dat er structurele veranderingen gemaakt moeten worden. Maar dat niet veel mensen op verandering zitten te wachten Bij instelling 7 en 8 lijkt het niet aanwezig te zijn. Bij de overige instellingen is het onduidelijk.
Overig
Instelling 8 is de enige instelling die aangifte aan de politie als mogelijke optie in de procedure heeft
opgenomen.
Bij een aantal instellingen (1, 6) zit er tussen B en C nog een stap. Bij deze stap worden andere
mensen geïnformeerd. Bijvoorbeeld het CVB dat er misschien een lek aankomt. Of het
onderzoeksteam van C meldt aan het team van D dat er een beslismoment aan gaat komen.
Instelling 6 noemt deze stap als noodzakelijk zodat mensen weten wat er speelt en er ook rekening
in kunnen houden in hun agenda.
55
8.3.7 Verschillende rollen
Hieronder worden verschillende onderwerpen besproken gerelateerd aan de verschillende functies
en rollen die mensen hebben betrokken bij de Meldplicht Datalekken. Wordt een rol aangegeven
door functie/functie dan worden deze functies door één persoon uitgevoerd, bijvoorbeeld Security
Officer/FG is één persoon. Worden de functies gescheiden door een + dan gaat het om verschillende
personen. Bijvoorbeeld bij Security Officer + FG gaat het om twee personen.
8.3.7.1 Inrichten vs. Uitvoeren
Het inrichten van de procedure is door allerlei verschillende mensen en rollen gedaan. Over het
algemeen is degene die de procedure heeft ingericht ook een van de uitvoerders. Een enkele keer is
de procedure echt alleen opgesteld door een beleidsmedewerker (instelling 4).
Onderwijsinstelling Inrichter procedure Uitvoerder
1 Security Officer CERT team met daarin Security Officer/FG
2 Security Officer/FG (één persoon) Security Officer/FG + Juristen
3 FG FG + Security Officer + team
4 Hoofd Beleid Information Management
CERT-team + (nog niet aanwezige) FG (nu secretaris CvB) + PCP (privacy contactpersoon (dus de hulp-FG’s)
5 Security Officer/FG Security Officer/FG
6 Security Officer, persvoorlichter* Security Officer + Juristen
7 Information manager Information manager + team
8 Bedrijfskundig Architect/Information Manager/Interim Security Officer/Interim FG
Business Architect/Information Manager/Security Officer/FG
Tabel 8: De inrichter van de procedure vs. de uitvoerder van de procedure
* Persvoorlichter betrokken bij het ontwikkelen van de procedure, zodat zij hun visie kunnen geven
en ook zodat ze op de hoogte zijn dat dergelijke dingen spelen, mocht er echt een groot incident zich
voordoen.
8.3.7.2 Afwegen om te melding vs. onderzoeken
In stap C van sectie 8.3.6 is al besproken wie er onderzoek doet naar een datalek. Hieronder staat
het nog een keer vermeld om context te geven voor wie er bepaald of er gemeld wordt. Opvallend in
de tabel hieronder is dat sommige instellingen kiezen om de verantwoordelijkheid van bepalen of er
gemeld moet worden bij hun CVB neer te leggen en andere dat binnen een team houden.
Onderwijsinstelling Wie bepaalt of er gemeld wordt Wie doet er onderzoek
1 CVB op advies van CERT CERT team, bestaande uit technische experts. Hebben wel een mogelijkheid om een juridische afdeling in te schakelen
2 Juristen team Security Officer/FG
3 Team FG + Security Officer
4 CERT TEAM CERT team
5 CVB op advies van regiegroep. Security Officer/ FG + hoofd informatiebeveiliging + informatie analist
56
6 CVB-lid op advies van Security Officer + juridische zaken
CERT + eigenaar van de dienst
7 Team Informatie manager
8 CVB op advies van Security Officer Security Officer Tabel 9: Diegene die de afweging om te melden maakt vs. degene die het lek onderzoekt
8.3.7.3 Dubbele taken
Er bleek uit de interviews dat er veel mensen zijn die meerdere taken hebben, zoals duidelijk te zien
in bovenstaande tabellen. Er is een groot verschil in mening of de functies op die manier voldoende
uit te voeren zijn.
Meerdere instellingen (4, 6 en 7) zijn nog zoekende naar een FG en liggen de taken dus tijdelijk bij
andere mensen. Andere instellingen (2, 1 en 8) hebben er bewust voor gekozen om rollen te
combineren. Zij hebben veelal de Security Officer en de FG samengevoegd in een persoon. Of
hebben een ‘ nieuwe’ functie in leven geroepen die taken van beide functies en eventueel nog
andere taken bevat. Voor een andere instelling (3) is er een duidelijke scheiding tussen de Security
Officer en de FG en is dit ook bewust zo gekozen.
Hoeveel tijd de FG nodig heeft om zijn/haar functies uit te voeren is verschillend. Bij sommige
instellingen worden zogenaamde ‘hulp-FG’s’ aangesteld om de FG te ontlasten (zie sectie 8.3.7.4)
omdat deze anders zijn/haar taken niet voldoende uit kan voeren. Instelling 5 noemt juist dat 1 dag
in de week al voldoende is; “wat zou een FG anders de hele week moeten doen?” Ook hierin is er
dus een groot verschil van mening. Hieruit blijkt dat verschillende instellingen verschillende
invullingen hebben van de functie van de FG. Het lijkt erop dat er of meer tijd nodig is bij de ene
instelling dan bij de andere. Het kan ook zijn dat de functieomschrijvingen erg van elkaar verschillen.
De Security Officer van instelling 6 geeft aan erg tegen het samentrekken van de Security Officer en
de FG functies te zijn. Ten eerste vanwege het verschil in soort verantwoordelijkheid, uitvoerend en
toeziend. Ten tweede omdat hij vindt dat het goed is om met verschillende perspectieven naar
dingen te kijken, zoals ook gemerkt is in de samenwerking met juridische zaken.
8.3.7.4 Hulp-FG
Iets wat opvalt in een aantal interviews is het aanstellen van iemand die taken van de FG overneemt
of ondersteunt. Deze noem ik ‘hulp-FG’s’. De precieze inrichting en benaming van deze functie
verschilt, maar dient als doel om de FG te ondersteunen in een toezichthoudende rol, maar ook voor
het verspreiden van awareness, beantwoorden van vragen en het coördineren van
bewerkersovereenkomsten (voor bijvoorbeeld onderzoek). Deze ‘hulp-FG’s’ zijn mensen uit een
afdeling binnen de instelling die dan deze rol ook vervullen binnen diezelfde afdeling waardoor zij
een beter zicht hebben op de privacy daarbinnen.
8.3.8 Meldingstermijn van 72 uur
Een melding aan de AP moet binnen 72 uur gebeuren (zie sectie 4.4). De meeste instellingen (1, 2, 3,
4 en 5) geven aan dat voorlopig melden altijd een optie is. De melding aan de AP kan altijd later nog
ingetrokken kan worden of naderhand kan er altijd meer informatie aan toegevoegd worden.
Instelling 3 geeft aan eigenlijk altijd voorlopig te moeten melden omdat de melding aan de
betrokkene in de melding aan de AP moet worden gegeven. De melding aan de betrokkene is alleen
vaak binnen 72 uur nog niet klaar. Er wordt bij de voorlopige melding aan de AP geen tijd genoemd
57
wanneer de rest van de melding moet komen. In combinatie met dat er geen feedback is van de AP
zou het dus kunnen zijn dat er maanden later nog informatie bij kan komen.
Een drietal instellingen (1, 4, 6) geven aan meldingstermijn van 72 uur lastig te vinden, maar dat
deze wel noodzakelijk is om te zorgen dat er snel wat gebeurd. Instelling 6 noemt meldingstermijn
werkuren wel werkbaarder, zeker rondom een weekend.
Instelling 2 noemt onduidelijkheid over het ingaan van meldingstermijn. Voorbeeld: Als een docent
bijvoorbeeld merkt dat zijn laptop malware heeft, maar dan pas na de vakantie naar de servicedesk
komt. De richtlijnen bieden hier een beetje duidelijkheid over namelijk dat dat 72 uur ingaan op het
moment dat het datalek ontdekt is door de organisatie. Er kunnen hier natuurlijk vraagtekens gezet
worden bij of de docent in kwestie ook had moeten weten dat het direct gemeld had moeten
worden. Wellicht kan hier meer duidelijkheid over gegeven worden door de AP.
Instelling 6 geeft aan dat het soms lastig is om binnen 72 uur bij personen of organen binnen de
meldprocedure tijd te krijgen. Bijvoorbeeld een afspraak met het CVB maken kan lastig zijn door hun
vaak volle agenda. Instelling 7 noemt dat de tijd erg krap kan worden. Zeker in combinatie met de
tijd die aan leveranciers, en onder leveranciers gegeven moet worden om een datalek door te geven,
Instelling 5 en 6 geven aan dat een datalek veel tijd kost. Instelling 5 is minimaal een dag bezig met
onderzoek, en inclusief onderzoek naar verbetermaatregelen kan dat wel 3 dagen (dus 24 werkuren)
worden. Instelling 6 geeft aan bij binnenkomst van een lek de agenda van de mensen betrokken in
de meldprocedure leeg te moeten maken.
8.3.9 Meldingsformulier voor melding aan de AP
Over het algemeen vinden de instellingen de inhoudelijke vragen van het meldingsformulier
duidelijk. Er is een aantal instellingen dat geen melding gedaan heeft aan de AP (zie sectie 8.3.5), zij
hadden geen feedback over het formulier.
Instelling 3 geeft aan dat er soms onduidelijkheid is over wat er precies ingevuld moet worden als
niet alle data bekend is (en ook niet bekend gaat worden). Instelling 3 gaf als voorbeeld een datalek
waarbij niet bekend was hoeveel en wat er gelekt was. Bij contact met de AP over wat er ingevuld
moest worden kreeg de instelling van de AP te horen: “Doe maar wat”. Ook geeft Instelling 3 aan dat
de sessie voor het formulier snel verloopt en dat er weinig ruimte is in de vakken van het formulier.
Een ander punt wat naar voren kwam was dat het meldingsformulier een aantal keer veranderd is.
Een aantal instellingen heeft vragenlijsten opgesteld voor bijvoorbeeld servicedesks om als eerste
criteria te gebruiken om te bepalen of het om een datalek gaat of niet. Deze verandering is een keer
gebeurd op basis van feedback, maar daarna nog een aantal keer. Instelling 3 geeft aan dat het
meldingsformulier steeds veranderd. Instellingen 5 gaf aan dat dit problemen opleverde met
synchroniseren. Instelling 5 had het formulier geïmplementeerd in hun beheertool, maar toen was
het meldformulier opeens veranderd. Dit betekende dat het formulier opnieuw in de beheertool
moest worden opgenomen. Doordat het niet duidelijk is hoe vaak het formulier veranderd zou dat
nog een keer kunnen voorkomen. Instelling 7 houdt rekening met het veranderen van het formulier
door in hun procedure de laatste versie van het formulier te downloaden en die als leidraad te
gebruiken.
58
8.3.10 Contact AP
Op hun website geeft de AP aan dat er doorgaans geen reactie komt op een melding: “Meestal krijgt
u geen reactie. Tenzij de Autoriteit Persoonsgegevens inhoudelijke vragen heeft over uw melding.
Dan neemt de Autoriteit Persoonsgegevens binnen 1-2 twee weken na ontvangst van uw melding
contact met u op.”95.
Geen geluid is dus goed geluid. Hierbij geeft de AP aan dat er binnen 1-2 weken nadat de melding is
binnen gekomen contact opgenomen kan worden. Kunnen organisaties er dan vanuit gaan dat als ze
na twee weken niets gehoord hebben dat de melding dan afdoende is geweest? Dit kan naar mijn
idee goed voor onduidelijkheid en onzekerheid leiden bij organisaties. Ook is deze onzekerheid niet
in het voordeel van de betrokkene. Mocht een relatief onervaren organisatie beslissen dat er geen
melding gemaakt moet worden aan de betrokkene dan kan een relatief late reactie (maximaal 2
weken, aldus de AP) de voordelen van een melding aan de betrokkene teniet doen. Ook kan het voor
een organisatie spanning opleveren, immers is het nu goed afgehandeld of kan de AP elk moment
toch nog op de stoep staan?
Geen van de geïnterviewde instellingen geeft aan dat er reactie is geweest op eventuele meldingen
aan de AP. Er komt een geautomatiseerde ontvangstbevestiging binnen, maar deze geeft geen
inhoudelijke reactie of bevestiging voor het goed handelen. Meerdere instellingen (2, 3, 4, 5, 6 en 8)
geven aan dat er behoefte is aan feedback van de AP over het afhandelen van de melding en
bevestiging als deze afgehandeld is. Zo zei instelling 4: “Je wilt graag horen dat t goed is. Of juist
niet.” Instelling 3 geeft aan dat er onzekerheid is over of een melding nu naar voldoening is
afgerond. Instelling 5 en 6 geven aan zich niet serieus genomen te voelen doordat er geen reactie
vanuit de AP komt op de meldingen. Instelling 6 zegt: “Het stimuleert niet”. Instelling 6 noemt dat
het voor een organisatie spannend is om een melding te doen en zich daarmee dus kwetsbaar op te
stellen. Instelling 5 geeft aan dat als je bedenkt hoeveel geld en tijd het de organisaties kost is het
contact wel erg eenzijdig is.
Veel van de instellingen (1, 2, 3, 5 en 6) geven aan het idee te hebben dat de AP geeft een
onderbemande is en dat ze te druk zijn om alle meldingen af te handelen. Instelling 3 zegt over de
AP: “Het lijkt alsof er geen bewaking op zit, komt knullig over.” Er is wel begrip voor het feit dat er
weinig reactie is, maar de verwachting dat deze “kinderziektes” er na het eerste jaar uit zijn wordt
wel neergelegd. Instelling 1 denkt dat de AP alleen de grote zaken, met grote lekken behandelt.
Instelling 2 vermoed dat als je een groot aantal meldingen doet juist de AP langs komt.
Een enkele instelling (3) geeft aan dat er buiten meldingen om wel contact is geweest met de AP
over bepaalde incidenten, maar dat daar geen bevredigende antwoorden uit kwamen.
In een interview met de NOS96 geeft de AP zelf geeft ook aan erg druk te zijn: “Voor alle
bevoegdheden die we hebben is 75 man personeel eigenlijk niet genoeg.” - woordvoerder AP Lysette
Rutgers.
95
https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken – Meldplicht Datalekken- Vragen over de meldplicht bij vraag “Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een datalek heb gemeld?” 96
http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html
59
8.3.11 Bewustzijn voor datalekken
Het creëren van bewustzijn onder medewerkers wordt als een belangrijk punt genoemd door de
instellingen. Instellingen 2, 4, 6, 7 en 8 noemen het creëren van bewustzijn rondom datalekken en
de Meldplicht Datalekken als een van hun grootste hobbels. Instelling 1 geeft aan dat je wel een
procedure kan hebben maar als je geen interne meldingen binnen krijgt dan heb je er niets aan.
Enkele voorbeelden van de stappen die ondernomen worden om medewerkers bewust te maken
over datalekken (en privacy in het algemeen): Encryptie mogelijk maken (1 en 6), mailing naar
medewerkers (1), webpagina met informatie (1), presentaties aan medewerkers (3 en 7), spellen (5
en 8). Instelling 5 geeft aan een uitgebreid programma te hebben met meerdere van de hiervoor
genoemde stappen.
Een aantal instellingen (3, 4, 6 en 8) geeft aan dat er plannen zijn om meer bewustzijn te creëren in
de toekomst. Tot november 2016 zijn er nog weinig stappen ondernomen binnen deze instellingen
op dit gebied.
Naast het bewustzijn rondom datalekken is het ook belangrijk dat medewerkers zich veilig voelen
om te melden. Instelling 3 noemt het incident bij het Antonie van leeuwenhoek ziekenhuis als
voorbeeld. Die hebben toen hun medewerker ontslagen. Instelling 3 geeft aan dat dat iets is wat zij
absoluut niet willen gaan doen. Ze geven aan dat het belangrijk is dat medewerkers veilig naar de
instelling toe kunnen komen met een lek, zodat je dat zo snel mogelijk op kan lossen. Je loopt anders
het risico dat medewerkers het lek niet durven te melden, in de angst dat zij persoonlijk de gevolgen
moeten dragen.
8.3.12 Aandacht voor beveiliging door de Meldplicht Datalekken
Naast de bewerkersovereenkomsten blijkt uit de interviews dat de Meldplicht Datalekken zelf maar
een beperkte positieve invloed gehad heeft op de aandacht voor beveiligingsmaatregelen. De
grootste invloed is dat de Meldplicht Datalekken uitgebreid in de pers is. Dit zorgt ervoor dat
functionarissen meer voorbeelden hebben van hoe het mis kan gaan en het daarmee makkelijker is
om budget te krijgen. Daarnaast is het ook makkelijker om mensen het belang van privacy uit te
leggen. Instelling 7 noemt dat er normaliter altijd eerst iets moet gebeuren voordat er maatregelen
kunnen gebeuren. Nu kunnen incidenten bij andere organisaties die in media komen die functie
dingen waardoor het werk (van informatie beveiliger) makkelijker wordt. Instelling 2 noemt een
grote invloed vanuit het CVB door persoonlijke interesse van een CVB lid, dat was bij een vorig lid
minder. Zoals eerder genoemd (zie sectie 8.3.3) heeft de Meldplicht Datalekken een positieve
invloed gehad op het invoeren en verbeteren van bewerkersovereenkomsten.
De Meldplicht Datalekken heeft dus op een aantal punten een positieve invloed gehad op de invoer
bewerkersovereenkomsten en het vrijmaken van budget voor informatiebeveiliging. Een aantal
instellingen geeft aan dat er ook volop aan de beveiliging gewerkt. Dit niet in verband met de
Meldplicht Datalekken, maar in vooruitblik op de AVG die heel duidelijk bij de instellingen op de
agenda staat.
“Er is nu veel aandacht voor privacy en beveiliging maar dit is vooral door de AVG, niet door de
Meldplicht [Datalekken]” -instelling 5.
“Wat wij nu doen is de WBP laten liggen en focussen op de AVG.” – Instelling 1.
60
8.3.13 Bijhouden van register met datalekken
Vanuit de Meldplicht Datalekken is het voor organisaties verplicht om een register bij te houden met
datalekken (zie sectie 4.8). Omdat NOREA in hun lezing97 noemde dat dit momenteel een grote
drempel is in de procedures rond de Meldplicht Datalekken is dit onderwerp opgenomen in de
interviews. Alle onderwijsinstellingen hadden hier echter wel een systeem voor. Bij alle instellingen
was het zo dat het systeem waar interne meldingen in binnen kwamen bij bijvoorbeeld een
servicebalie ook een lijst met incidenten bijhoudt. Hier werd veelal Topdesk98 genoemd, maar ook
eigen systemen.
8.3.14 Reputatie vs. Boete
Alle instellingen geven aan dat de boete vanuit de AP een goede stok achter de deur is, maar dat het
verlies van reputatie een veel grotere motivator is. Instelling 7 noemt dat de boete veel minder eng
is omdat in veel gevallen er een waarschuwing gegeven wordt. Reputatieschade leidt bij
onderwijsinstellingen vaak tot minder inschrijvingen, wat ook weer financiële schade kan opleveren
die jaren blijft hangen.
Instelling 6 en 7 noemen dat reputatieschade ook een grote rol speelt in het melden aan de
betrokkene. Deze factor kan heel zwaar wegen om bijvoorbeeld een melding niet te doen, of later
als er meer bekend is over het lek.
Instelling 3 noemt dat reputatie belangrijk is, maar de relatie met de patiënten vanuit hun rol als
zorginstelling nog veel belangrijker is.
8.3.15 Grootste uitdagingen
Hieronder wordt een lijst besproken met onderwerpen die door de instellingen als grootste
uitdagingen werden ervaren rondom de Meldplicht Datalekken.
Bewustzijn over privacy en de Meldplicht Datalekken onder medewerkers creëren (zie sectie
8.3.11)
Een ander aspect wat veel naar voren komt is het achterhalen van de eigenaar van de data. Van
wie is de informatie? Wie is de verantwoordelijke? Wat is er nu precies aan de hand? Instelling 3
noemt een voorbeeld waarbij een lijst met persoonlijke informatie in een boek gevonden was.
Dit is in eerste instantie behandeld als een datalek van de instelling zelf, maar uiteindelijk bleek
de informatie van een andere organisatie te zijn. Ook instellingen 6 en 7 geven aan dat het
achterhalen van de data en eventueel het systeem waarin de data zich bevind, als grootste
moeilijkheid bij de Meldplicht Datalekken wordt ervaren.
Instelling 5 noemt dat er vanuit de AP te weinig concrete casussen zijn. Instelling 5 heeft zelf
kaartspel ontwikkeld waarbij incidenten besproken worden. Instelling 5 geeft aan dat veel van
de genoemde voorbeelden van de AP gericht zijn op spam en mailadressen. Ze geeft aan dat de
grootste kwetsbaarheid de apparatuur is die uitgegeven wordt. Instelling 5 zou graag meerdere
soorten casussen uitgewerkt zien, ook met wat de AP nu goed vindt en wat niet.
97
J. de Heer (NOREA), (04-11-2016), Bent u in control met de meldplicht datalekken? , gepresenteerd op Infosecurity 2016, Utrecht 98
Topdesk is een service management software pakket http://www.topdesk.nl/
61
8.3.16 Overig
In deze sectie worden enkele onderwerpen besproken die nog ter sprake gekomen zijn tijdens de
interviews en niet in een van de bovenstaande sectie pasten.
De meeste instellingen zijn van ongeveer dezelfde grootte in termen van medewerkers (zie begin
sectie 8.3). Enkel instelling 3 heeft een veel groter medewerker aantal. Dit komt waarschijnlijk
doordat instelling 3 naast een onderwijsinstelling ook een zorginstelling is. Verder lijkt het aantal
medewerkers geen verschil uit te maken voor het inrichten van de procedure en het uitvoeren
daarvan.
Instelling 7 geeft aan dat het soms onduidelijk wat de AP eist en wat de wet eist. Voorbeelden zijn
vaak niet 1 op 1 te vergelijken dus inschattingen blijven heel erg lastig. De richtlijnen van de AP zijn
wel maar richtlijnen. Uiteindelijk moet je doen wat er in het wetboek staat en niet wat er in de
richtlijnen staat. Het is soms lastig om te achterhalen of bepaalde dingen moeten gebeuren omdat
de wet dat zegt of omdat de AP graag wil dat dat gebeurd maar dat dat toch niet hoeft.
62
9 Conclusies In dit hoofdstuk worden de conclusies van dit onderzoek besproken. Hieronder worden enkele
opvallende zaken besproken die buiten de drie grote onderzoekslijnen vallen. Daarna worden de drie
grote onderzoekslijnen stuk voor stuk besproken. Als eerste worden in sectie 9.1 de conclusies uit de
incidenten analyse (zie hoofdstuk 6) besproken, als tweede wordt in sectie 9.2 de conclusies over het
meldingsformulier (zie hoofdstuk 7) besproken en als laatste en grootste sectie worden in sectie 9.3
de conclusies uit de interviews (zie hoofdstuk 8) besproken. Onderbouwing en gedetailleerdere
beschrijvingen kunnen teruggevonden worden in de corresponderende hoofdstukken.
Als we kijken naar Amerikaanse onderzoeken (zie hoofdstuk 2) zien we dat de onderzoeken en ook
de wetgeving heel erg gericht zijn op het voorkomen van ‘identity theft’. Is dit in Nederland ook een
groot probleem of is dit gewoon een van de verschillen tussen Amerika en Nederland? Misschien
noemen de Amerikanen een incident ook sneller identity theft? Ook zijn Amerikaanse onderzoeken
gericht op ‘de kosten van melden’ de hoeveelheid schade die een melding een organisatie doet in
duidelijke dollars. Onderzoeken hiernaar kijken naar beurskoersen etc. Ook wordt er gekeken naar
modellen waar in het efficiënter is om niet te melden, maar compensatie voor (potentieel) geleden
schade door de betrokkene te betalen. 99 (zie hoofdstuk 2).
In de AVG verandert de definitie van persoonsgegevens (zie sectie 5.4). Voor veel organisaties zal dit
weinig verschil uit maken. Het is mogelijk dat organisaties die gegevens hadden die buiten de
definitie vielen nu opeens wél gegevens hebben die binnen de wet vallen.
De verandering dat organisaties altijd moeten melden tenzij er geen risico is (zie sectie 5.4) maakt
het maken van de afweging om te melden voor organisaties wellicht makkelijker. Is er een kans dat
er iets gebeurd? Dan gewoon melden. Als nadeel heeft deze maatregel dat organisaties wel meer
moeten gaan melden. Dit kan potentieel heel veel geld en tijd kosten. Ook voor de toezichthouder
kan dit een grote golf met meldingen met lage risico’s opleveren. Al die meldingen aan de AP
moeten weer beoordeeld worden waardoor het de AP ook veel geld en tijd kost, met het risico dat
er echt serieuze meldingen te laat of helemaal niet opvallen.
9.1 Conclusies van de analyse statistiek en incidenten Er is te weinig data beschikbaar over datalekken in Nederland om er een goede analyse over te
maken. Vanuit de AP is er te weinig gedetailleerde data beschikbaar over de gemaakte meldingen,
zowel die aan de AP als aan de betrokkene. Persberichten bevatten te weinig details om een goede
analyse te maken.
Er zijn volgens de AP bijna 5500 meldingen gedaan, waarvan er 5% aanleiding geeft tot meer
vragen100. Er is in de pers een aantal incidenten naar voren gekomen waar duidelijk blijkt dat er nog
veel te leren valt. Geen van deze incidenten en ook geen van de incidenten buiten de pers hebben
tot februari 2017 boetes tot gevolg gehad voor zover bekend.
99
Romanosky, S., Acquisti, A., & Sharp, R. (2010). Data breaches and identity theft: when is mandatory disclosure optimal?.http://www.econinfosec.org/archive/weis2010/papers/session1/weis2010_romanosky.pdf 100
Vicevoorzitter AP Wilbert Tomesen tegen NOS. J. Schellevis, Privacywaakhond: datalekken worden niet gemeld, 13-05-2016, http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html
63
In de toekomst is er wellicht meer informatie beschikbaar om een analyse van incidenten te maken.
Aan het eind van 2016 zou de AP een jaarverslag uit brengen waarin hopelijk meer informatie staat
over de soorten datalekken en de veelvoorkomende problemen van de datalekken. Tot op heden is
nog geen jaarverslag maar wel een korte informatiesheet101 uitgegeven. Deze informatiesheet geeft
weinig details. Tevens roepen NOREA en CIP op tot een publieke geanonimiseerde lijst van
incidenten om de mogelijkheid te hebben van elkaars fouten te leren102.
9.2 Conclusies uit de analyse van het meldingsformulier Bij de meldplicht in Telecommunicatiewet (zie sectie 5.2) die gedaan moest worden bij de OPTA was
er sprake van een authenticatie van de organisatie door middel van inlogcodes en wachtwoorden.
Dit is niet het geval bij de Meldplicht Datalekken. Het is mogelijk om het formulier in te vullen alsof
je een organisatie bent. De AP geeft in de meeste gevallen (95%103) geen terugkoppeling aan de
meldende instelling. Het zou dus kunnen dat er valse meldingen aan de AP gedaan worden. Uit de
interviews blijkt al dat het opnieuw invullen van de melding bij het wijzigen van de melding veel tijd
en moeite kost. In de richtlijnen geeft de AP aan in de toekomst te gaan kijken naar
authenticatiemiddelen104.
Uit de interviews bleek dat de AP de vragenlijst voor de melding aan de AP heeft veranderd.
Inconsistentie met eigen systemen van organisaties treden hierdoor op, waardoor wellicht op het
moment van melden toch nog meer informatie verzameld moet worden. Eén instelling (7) gebruikt
het meldingsformulier, zoals te vinden op de website van het AP als richtlijn, zodat ze telkens de
laatste versie hebben. Naast dat deze veranderingen invloed hebben op internet procedures voor
het melden heeft het ook invloed op meldingen die gedaan worden via de fax. Voor het melden via
fax wordt er door de AP verwezen naar het meldformulier uit de beleidsregels. Dit meldformulier
verandert echter niet mee met het webformulier en verschilt hierdoor. Dit kan zorgen voor een
incomplete of andere melding bij de AP.
9.3 Conclusies uit de interviews
9.3.1 De interne meldingsprocedure
Veel van de onderwijsinstellingen maken gebruik van de bestaande structuren en expertise die er
binnen de organisatie beschikbaar is. Dit is ook bepalend in keuzes rondom wie er verantwoordelijk
is voor het bepalen of er gemeld gaat worden, wie er de melding aan de AP en de betrokkene doet
en in welke volgorde de interne melding de organisatie doorloopt. Zo zie je bijvoorbeeld dat
onderwijsinstellingen met een CERT team vaak gebruik maken van deze ICT expertise, terwijl andere
onderwijsinstellingen juist meer op hun juristen gaan leunen.
101
Autoriteit Persoonsgegevens (2016) 1 jaar meldplicht datalekken: facts & figures 2016, geraadpleegd van: https://autoriteitpersoonsgegevens.nl/nl/nieuws/1-jaar-meldplicht-datalekken 102
J. de Heer (NOREA), (04-11-2016), Bent u in control met de meldplicht datalekken? , gepresenteerd op Infosecurity 2016, Utrecht 103
Vicevoorzitter AP Wilbert Tomesen tegen NOS. J. Schellevis, Privacywaakhond: datalekken worden niet gemeld, 13-05-2016, http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html 104
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015, Pg 30, geraadpleegd van: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015
64
Niet alle verschillende stappen genoemd in figuur 3 zijn bij alle instellingen aanwezig. Zo mist
instelling 6 delen uit stap A (detectie van een datalek). Ook stappen F (inschakelen
calamiteitenorganisatie en pers) en G (feedbackloop en verbetermaatregelen) zijn niet bij alle
instellingen aanwezig. Zo mist Stap B (binnenkomst voor de interne melding) bij instelling 8. Door de
verschillende rollen binnen de verscheidene stappen kan een procedure er per instelling heel anders
uit zien. Wat nu een betere of wellicht efficiëntere procedure kan op basis van dit onderzoek niet
gezegd worden. Vooral stappen A en B zijn belangrijk. Zoals instelling 1 zegt is dat je wel een
procedure kan hebben, maar als je geen interne meldingen binnen krijgt dan heb je er niets aan.
Bij de melding aan de betrokkene is het opgevallen dat een verkeerd beeld van wat een melding aan
de betrokkene kan zorgen voor een foutieve melding aan de betrokkene.
9.3.2 Contact AP
Doordat er geen reactie is geweest vanuit de AP op meldingen vanuit de instellingen geven deze
instellingen aan zich niet serieus genomen te voelen. Zelf geeft de AP aan in 5% van de meldingen
vervolg vragen te stellen105. Geen van de geïnterviewde instellingen viel onder deze 5%. Uit de
interviews blijkt dat de meeste instellingen toch graag onder deze 5% hadden gevallen. Er is een
grote behoefte aan inhoudelijke feedback op de melding aan de AP. Is de melding nu goed
afgehandeld, of niet? De AP komt bij veel instellingen druk en overbezet over door de afwezigheid
van reactie. Ook hoe de AP lekken afhandelt is niet duidelijk.
Als de AP de indruk geeft de meldingen niet serieus te nemen en te druk te zijn om te reageren op
meldingen kan dit schadelijk zijn. Doordat de AP de toezichthouder is voor de Meldplicht Datalekken
zullen ze moeten laten zien dat ze de meldingen serieus nemen en niet te druk zijn voor meldingen,
want anders vermoed ik dat instellingen op een gegeven moment de meldingen ook niet meer
serieus nemen en te druk zijn om ze naar t AP door te geven. Er wordt immers toch niets mee
gedaan?
Hierin vermoed ik dat transparantie van de AP een grote rol kan spelen. Meer transparantie over
informatie over meldingen, hoe er beoordeeld wordt en wanneer een melding afgerond is. Als
organisaties inzicht krijgen in wat er met hun meldingen gebeurd en wanneer ze goed en
afgehandeld zijn zal dat een hoop rust en vertrouwen geven binnen de organisaties. CIP pleit voor
een geanonimiseerde lijst met incidenten zodat iedereen uit de sector ervan kan leren.
9.3.3 Aantal meldingen aan de AP en welke soort
Er is een groot verschil in het aantal meldingen gedaan aan de AP tussen de geïnterviewde
instellingen. Hier kunnen verschillende verklaringen voor zijn.
1. Instellingen met meerdere meldingen hebben een slechtere beveiliging waardoor meer
datalekken ontstaan,
2. Datalekken worden niet gedetecteerd bij sommige instellingen,
3. De grens tussen niet melden en wel melden wordt bij de behandelde instellingen
verschillend getrokken.
105
Vicevoorzitter AP Wilbert Tomesen tegen NOS. J. Schellevis, Privacywaakhond: datalekken worden niet gemeld, 13-05-2016, http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html
65
Uit de interviews bleek dat de meest waarschijnlijke verklaring hiervoor een combinatie van
verklaring 2 en 3 is.
Er is niet een bepaalde soort melding die relatief vaker naar voren komt, maar er is niet gevraagd
naar details per melding in de interviews. Ook bleek uit de interviews dat het eerst dichten van het
lek en dan pas onderzoeken ervoor kan zorgen dat er informatie over het datalek niet meer
beschikbaar is.
Het aantal van ‘bijna’ 220 meldingen aan de AP vanuit het onderwijs106 (zie hoofdstuk 6) verbaast
mij. In Nederland zijn 7727 scholen107. Zelfs als veel van deze scholen onder dezelfde besturen vallen
(en dus onder dezelfde verantwoordelijke in termen van de Meldplicht Datalekken) is het aantal
meldingen aan de lage kant. In dit onderzoek worden 8 onderwijsinstellingen geïnterviewd, waarvan
de helft aangeeft minimaal één melding aan de AP te hebben gedaan. Een tweetal instellingen
(instelling 1 en 3) geeft zelfs aan meer dan 10 meldingen gedaan te hebben. Nu zal instelling 3
vanwege het feit dat het ook een zorginstelling is, waarschijnlijk in een andere categorie vallen.
Maar voor instelling 1 betekent dat dat zij verantwoordelijk is voor 5% van de meldingen vanuit het
onderwijs. Binnen dit onderzoek heeft 50% van de instellingen één of meerdere meldingen gedaan.
Hierdoor zou ik verwachten dat ook ongeveer 50% van die 7727 scholen een melding gedaan heeft.
Gezien het lage aantal meldingen is dit niet het geval is. Wederom zou meer gedetailleerde data,
zoals hoeveel instellingen gemeld hebben ten opzichte van het totaal aantal meldingen, vanuit de AP
welkom zijn.
9.3.4 Reputatie vs. Boete
Reputatie schade lijkt een grotere factor te spelen dan een geldboete, hoewel ook vaak genoemd
wordt dat, zeker op een publieke instelling, reputatie en geld hetzelfde zijn. Wel is er meer angst
voor de reputatieschade die volgt uit een datalek dan een eventuele boete vanuit de AP.
9.3.5 Meldingstermijn van 72 uur voor melden aan de AP
Tijdelijke melding komt vaak naar voren als ‘oplossing’ voor de 72-uur-tijdslimiet. Er wordt geen
limiet gesteld aan hoe snel de rest van de melding moet komen. Wellicht kan hier meer duidelijkheid
over gegeven worden door de AP.
9.3.6 Verschillende rollen
Er worden in de procedures rondom de Meldplicht Datalekken verscheidene personen en rollen
genoemd door de instellingen. Zo ligt de ene keer de verantwoordelijkheid bij de Security Officer, de
andere keer bij de FG en andere keren wordt de rol ‘Information Manager’ genoemd. Een enkele
keer worden deze drie rollen samen met de rol van business architect verenigd in 1 persoon. Er zijn
veel verschillenden kijken op of deze rollen zo zouden moeten heten, welke invulling ze hebben
(uitvoerend/toezichthouder) en of ze wel of niet verenigd moeten zijn in 1 persoon. Verder lijkt er
ook onduidelijkheid te zijn over de invulling qua taken en tijd van de FG omdat deze erg verschillen
per instelling.
106
Autoriteit Persoonsgegevens (2016) 1 jaar meldplicht datalekken: facts & figures 2016, geraadpleegd van: https://autoriteitpersoonsgegevens.nl/nl/nieuws/1-jaar-meldplicht-datalekken 107
Onderwijs in Cijfers is een samenwerking tussen het Centraal Bureau voor de Statistiek (CBS), Dienst Uitvoering Onderwijs (DUO) en het ministerie van Onderwijs, Cultuur en Wetenschap (OCW). https://www.onderwijsincijfers.nl/kengetallen/
66
Naast de genoemde rollen van FG en Security Officer is er mede door de Meldplicht Datalekken
(geholpen door de AVG) ook een nieuwe rol ontstaan. De zogenaamde ‘Hulp-FG’. Deze heeft taken
die de FG moeten ondersteunen in zijn/haar taken.
9.3.7 Tijdlijn van de implementatie van de Meldplicht Datalekken
Over het algemeen zijn de instellingen laat klaar met het ontwikkelen van de procedure voor de
Meldplicht Datalekken, vaak na 1 januari toen de Meldplicht Datalekken inging. De ondersteunende
organisaties hebben een grote rol gespeeld in het voorlichten rondom de Meldplicht Datalekken.
9.3.8 Bewerkersovereenkomsten
De meeste van de instellingen zijn nog niet bij met het veranderen/afsluiten van
bewerkersovereenkomsten. De ondersteunende organisaties (SURF, SAMBO, Kennisnet, MBO raad)
genoemd in 8.3.1 hebben een grote rol gespeeld in het ondersteunen van instellingen in het
aanpassen van bewerkersovereenkomsten door onder anderen voorbeeld
bewerkersovereenkomsten aan te leveren en bewerkersovereenkomsten af te sluiten voor
onderwijsinstellingen gezamenlijk. Tevens is er een duidelijke invloed van de Meldplicht Datalekken
op het betrekken van beveiliging in bewerkersovereenkomsten. Enkele instellingen noemen
moeilijkheden met onderleveranciers en de afspraken die daar weer mee gemaakt moeten worden.
9.3.9 Beleidsregels Meldplicht Datalekken
Doordat de beleidsregels Meldplicht Datalekken108 vrij laat gepubliceerd zijn (8 december 2015)
hebben de meeste instellingen de consultatie versie gebruikt of gebruik gemaakt van informatie van
collega’s en SURF. Een enkele instelling heeft het inrichten van de procedure uitgesteld tot de
richtlijnen beschikbaar waren en waren hierdoor te laat.
Voor toekomstige veranderingen in de gegevensbeschermingswetgeving waarbij richtlijnen
uitgegeven moeten worden is het dus raadzaam richtlijnen eerder uit te brengen zodat organisaties
de tijd hebben om hiermee te werken. In veel van de organisaties staat de AVG nu ook al hoog op de
agenda. Op 17 januari 2017 zijn ook de beleidsregels voor de AVG door de AP gepubliceerd109.
9.3.10 Bewustzijn voor datalekken
Instellingen zien het belang in van bewustzijn voor privacy en datalekken onder medewerkers. De
helft van de instellingen heeft nog geen stappen genomen om bewustzijn van haar medewerkers op
het gebied van privacy te vergroten. Eén van de geïnterviewden geeft aan dat naast dat het
belangrijk is dat medewerkers zich aan beveiligingsmaatregelen houden het ook belangrijk is dat de
medewerkers een incident intern durven te melden.
9.3.11 Aandacht voor beveiliging door de Meldplicht Datalekken
Er is door de Meldplicht Datalekken een positieve invloed geweest het invoeren van
bewerkersovereenkomsten en het vrijmaken van budget voor informatiebeveiliging. Een grote
invloed op de beveiliging is vooral in vooruitblik op de AVG die heel duidelijk bij de instellingen op de
agenda staat. 108
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 109
Autoriteit Persoonsgegevens, (2016, 16 dec), Privacytoezichthouders publiceren richtlijnen Europese privacywet, https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacytoezichthouders-publiceren-richtlijnen-europese-privacywet
67
9.3.12 Grootste uitdagingen
Als grootste uitdagingen worden door de geïnterviewde instellingen de volgende drie onderwerpen
aangedragen:
- Bewustzijn creëren rondom privacy en de Meldplicht Datalekken
- De eigenaar van de data achterhalen
- Te weinig voorbeeldcasussen vanuit de AP
9.3.13 Ondersteunende organisaties
De verschillende ondersteunende organisaties (SURF, SAMBO, Kennisnet, MBO raad) hebben een
grote rol gespeeld in de Meldplicht Datalekken op de agenda krijgen. Ook hebben zij ondersteuning
gegeven in de vorm van voorbeeld procedures, voorbeelden van lekken, Surf Community’s en
bewerkersovereenkomsten. In hoeverre de AP zich bewust is van deze invloed is niet bekend. Goede
contacten met dergelijke organisaties, niet alleen binnen het onderwijs, kan voor een groter
draagvlak zorgen onder Nederlandse organisaties.
68
10 Vragen voor verder onderzoek In dit hoofdstuk worden enkele onderwerpen besproken die meegenomen kunnen worden in
vervolgonderzoek en enkele suggesties gegeven voor vervolgonderzoek.
10.1 Onderwerpen voor vervolg interviews In de interviews zijn enkele punten naar boven gekomen die niet bij alle interviews besproken zijn.
Daarom kan er lastiger over gezegd worden of deze punten bij meerdere organisaties spelen. Dat
neemt niet weg dat deze punten wel interessant kunnen zijn en in toekomstige interviews dus
meegenomen moeten worden. Deze punten zijn:
Auditors en accountants (instellingen 4, 7 bij sectie 8.2.16 en instellingen 7,8 bij sectie 8.2.21) Er wordt door twee instellingen (7 en 8) een aantal keer verwezen naar het oordeel van een externe
auditor of accountant over de goedkeuring bepaalde procedures of onderdelen daarvan. Blijkbaar
spelen deze auditors en accountants een belangrijke rol in het bevestigen van de procedures binnen
deze instellingen. In vervolg onderzoeken is het wellicht interessant om te kijken of meerdere
instellingen waarde hechten aan dit oordeel en hoe groot deze invloed is.
Medewerkers moeten zich veilig voelen om te melden. (instelling 3 kort genoemd in sectie 8.2.19) Er kan gekeken worden of de consequenties van een interne melding maken voor medewerkers
inderdaad een rol speelt. Ook is het interessant om te kijken hoe verschillende instellingen hier mee
om gaan en of procedures voor zijn.
Hoe veel tijd kost het om de melding aan de AP en de betrokkene te doen. In een aantal interviews is er gesuggereerd dat het maken van een melding veel tijd kan kosten. In
vervolginterviews kan het interessant zijn om te kijken om hoeveel tijd dit gaat. Ook kan er gekeken
worden of er een verschil zit in hoeveel tijd een procedure kost en wat voor soort datalek het om
gaat.
Beveiligingsmaatregelen Instelling 8 geeft aan dat om datalekken met usbsticks te voorkomen, het gebruik van USB-sticks
verboden is binnen de instelling. Dit is wel een ingrijpende maatregel voor het functioneren van de
medewerkers. De verantwoordelijkheid van het gebruik van USB-sticks verschuift hierbij van de
organisatie naar de individuele medewerker. Het is maar de vraag of de USB-sticks nu minder
gebruikt gaan worden. Medewerkers zouden minder snel geneigd kunnen zijn om een interne
melding te maken over een verloren USB-stick met persoonsgegevens. Hierdoor verliest de
organisatie zicht op het gebruik van deze USB-sticks. Wellicht ligt hier een taak voor de
ondersteunende organisaties om duidelijke en effectieve maatregelen voor te stellen voor
instellingen?
Er zijn dus sommige instellingen die deze onderwerpen ervaren. Of deze ervaring door veel
instellingen gedeeld wordt is wellicht interessant om onderzoek naar te doen en een eventuele
oplossing voor aan te dragen. Het kan ook zo zijn dat die onderwerpen bij een paar instellingen juist
wel problemen opleveren en bij andere juist helemaal niet. Het is interessant om dan te kijken naar
waarom dit bij sommige wel een probleem is en bij anderen niet. Wellicht kan er dan een oplossing
naar boven komen voor de instellingen die de onderwerpen als problematisch ervaren.
69
10.2 Verder onderzoek naar de interne meldingsprocedure Door dat bestaande structuren belangrijk zijn voor de vorming van de procedure voor de interne
melding van een datalek ontstaan er verschillen in de procedures binnen de verschillende
organisaties. Welke van deze procedures het meest efficiënt is in bijvoorbeeld, kosten of tijd zou
verder onderzoek moeten uitwijzen. Zo zou een zelfde datalek scenario doorlopen kunnen worden
bij verschillende organisaties en gekeken worden naar de hoeveelheid geld of tijd die daar bij
betrokken is. Hierbij is het natuurlijk van belang dat de organisaties van een soortgelijke grootte en
sector zijn. Bijvoorbeeld zou een vergelijking gemaakt kunnen worden tussen universiteiten.
Er is mij opgevallen dat er mogelijk een link te leggen is tussen de verschillende maatregelen en
procedures die geïmplementeerd moeten worden voor de Meldplicht Datalekken en standaarden
zoals de ISO 2700 standaarden110. In hoofdstuk 8 worden verschillende stappen van de
meldingsprocedure genoemd, deze zijn wellicht te linken met de standaarden waardoor het wellicht
makkelijker word om de procedures een plek te geven in de organisatie.
In toekomstig onderzoek is het interessant om een onderscheid te maken tussen de aanpak van
verschillende organisaties voor Meldplicht Datalekken of het bredere onderwerp
informatiebeveiliging. Er kan een vergelijking gemaakt worden in aanpak en niveau tussen de
verschillende soorten onderwijsinstellingen e.g. primair onderwijs, voortgezet onderwijs, hoger
onderwijs en beroepsonderwijs. Hier kunnen maturity modellen111 bij gebruikt worden om een
classificatie te maken van de verschillende onderwijsinstellingen waardoor ze beter vergelijkbaar
zijn. Een vergelijkbaar onderzoek in andere sectoren kan inzicht geven over of de drempels en
keuzes hetzelfde zijn over alle sectoren of dat er verschillen tussen zitten. Zo zou er een vergelijking
gemaakt kunnen worden met andere publieke organisaties, maar ook naar privaten organisaties.
10.3 Gevolgen van de Meldplicht Datalekken In lijn met de onderzoeken genoemd in hoofdstuk 2 kan er gekeken worden naar het nut van de
Meldplicht Datalekken. Uit de interviews gedaan in deze scriptie blijkt dat de Meldplicht Datalekken
bij sommige instellingen wel een extra incentive geweest is voor budget. Of de Meldplicht
Datalekken verder nog nut gehad heeft, in bijvoorbeeld beperking van schade en nieuwe inzichten
bij de AP en bij organisaties, zou toekomstig onderzoek moeten uitwijzen. Dit zou gedaan kunnen
worden door een duidelijke analyse van de door de wetgever en AP gestelde doelen voor de
Meldplicht Datalekken. Uit een dergelijke analyse zouden duidelijke doelstellingen voor organisaties
kunnen komen. Deze doelstellingen kunnen dan getest worden binnen organisatie. Zou zouden
organisaties bijvoorbeeld op de verschillende doelstelling een bepaalde score kunnen halen. Door
die analyse bij meerdere organisaties uit te voeren kan er hopelijk een beeld gevormd worden van
hoe hoog organisaties scoren. Als deze vergeleken kan worden met een score gebaseerd op een
110
International Organization for Standardization. (2016). ISO/IEC 27000 family - Information security management systems (ISO/27000). Geraadpleegd van: https://www.iso.org/search/x/query/27000/refine/more:standard/status/p 111
Bijvoorbeeld: Paulk, Mark C.; Weber, Charles V; Curtis, Bill; Chrissis, Mary Beth (February 1993). "Capability Maturity Model for Software (Version 1.1)". Technical Report. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University. http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA263403. Dit maturity model is ontwikkeld voor software processen. Meerdere soorten maturity modellen zijn aanwezig voor verschillende sectoren en processen. Voor security is er bijvoorbeeld "The community cyber security maturity model." Zie: White, G. B. (2007, January). The community cyber security maturity model. In System Sciences, 2007. HICSS 2007. 40th Annual Hawaii International Conference on (pp. 99-99). IEEE.
70
voorgaande situatie kan er bepaald worden in hoeverre de meldplicht invloed gehad heeft op het
behalen van de genoemde doelen uit de Meldplicht Datalekken.
Ook kan er gekeken worden naar de kosten van de Meldplicht Datalekken. De MVT van de
Meldplicht Datalekken noemt een bedrag van €16,60 aan kosten per melding112. Ponemom noemt
een bedrag van 4 miljoen per melding (zie hoofdstuk 2)113. Of deze genoemde bedragen kloppen zou
gemeten kunnen worden in hoeveel tijd en geld een organisatie moet steken in een datalek. Er kan
een zelfde datalek in scene zetten bij een aantal verschillende organisaties. Hierbij kan de tijd van
afhandelen gemeten worden en welke kosten er gemaakt worden. Deze methode zou ook gebruikt
kunnen worden om te kijken naar efficiëntie van de meldprocedures per organisatie. Een organisatie
die minder kosten maakt heeft waarschijnlijk een efficiëntere procedure in termen van geld.
10.4 Verder onderzoek rond de AP Mochten er gegevens over de gemelde datalekken bekend gemaakt worden door de AP dan is het
natuurlijk interessant om daar een analyse van te maken. Wat is de meest voorkomende aard van
meldingen? Is er een link te leggen tussen de sector waaruit de melding komt en de aard van de
melding?
Verder onderzoek naar het nut en de gevolgen van de meldingen, die binnengekomen zijn bij de AP,
kan inzicht geven aan organisaties voor het melden van een incident. Zo bleek uit de interviews dat
sommige organisaties de keuze maken om altijd gestolen telefoons te melden, andere organisaties
kiezen daar bewust niet voor. Uit een analyse van de meldingslijst van de AP onderzoek kunnen
wellicht ‘best-practices’ opgesteld worden die inzicht kunnen geven aan organisaties in hoe andere
organisaties omgaan met de Meldplicht Datalekken.
Zoals aangegeven in sectie 8.3.15 is er vanuit de onderwijsinstellingen een behoefte aan meer
voorbeelden van datalekken en hoe deze afgehandeld kunnen worden. Organisaties maken diverse
afwegingen bij de afweging over het melden aan de toezichthouder en de betrokkene. Onderzoek
hiernaar zou een overzicht en leidraad kunnen vormen voor organisaties ter ondersteuning van de
keuzes die gemaakt moeten worden bij de Meldplicht Datalekken.
Het webformulier is openbaar toegankelijk. Bevalt deze manier van werken beter bij zowel de
toezichthouder (de AP) en de organisaties die de meldingen moeten doen? Het kan interessant zijn
om het webformulier een keer in te vullen en kijken hoe de AP reageert op deze ‘valse’ melding. Is er
sprake van dit soort ‘valse meldingen’ bij de AP en levert dit problemen op? Hoe fraudegevoelig is
dit webformulier?
Naast de authenticatie valt er wellicht nog meer te leren uit de telecommunicatiewet. Hoewel de
wetgevingen andere doelgroepen hebben lijkt de meldplicht uit art. 11.3a TW sterk op de Meldplicht
Datalekken. Een analyse van meldingen uit het register van de ACM of de OPTA kan misschien
nieuwe inzichten geven in hoe organisaties omgaan met datalekken en welke beslissingen daar
gemaakt worden.
112
Tweede Kamer, 2012–2013, 33 662, nr. 3, MvT op de Meldplicht datalekken 113
Ponemom institute. (2016). 2016 Cost of Data Breach Study: Global Analysis. Geraadpleegd van: https://securityintelligence.com/media/2016-cost-data-breach-study/
71
10.5 Overig Een andere vraag die tijdens het onderzoek naar boven kwam was: Is het mogelijk dat organisaties
extra informatie moeten gaan verzamelen over betrokkenen om ze adequaat in te lichten?
Onderzoek naar of dit inderdaad nodig is en of er ook organisaties zijn die dat doen moet gedaan
worden om deze vraag te beantwoorden.
Een ander interessant onderwerp is de relatie tussen de bewerker en de verwerker. Zij moeten
bewerkingsovereenkomsten opstellen voor o.a. de Meldplicht Datalekken. In verkennende
gesprekken met twee bedrijven die optreden als bewerkers bleek dat een groot verschil zit in hoe
bewerkers met de bewerkersovereenkomsten omgaan. Zo is het eerste bedrijf al ruim twee jaar
bezig met hun bedrijf en bedrijfsprocessen in te richten op de Meldplicht Datalekken en de AVG. Dit
doen ze door middel van voorlichting bij klanten, gestandaardiseerde bewerkersovereenkomsten en
diverse andere maatregelen. In een gesprek met de andere bewerker (het stagebedrijf) bleek dat de
bewerkersovereenkomst compleet nieuw voor hen was, wat suggereert dat zowel zij als hun klanten
(de verantwoordelijke) zich niet bewust zijn van deze verplichting. Meer onderzoek naar of deze
kloof inderdaad bestaat, de oorzaak van deze kloof en hoe het opgelost kan worden is nodig.
In 8.3.7.4 hebben we gezien dat er verschil lijkt te zijn tussen de taken en uren van FG’s per
instelling. Het is interessant om uit te zoeken of dit verschil er daadwerkelijk is en wat de oorzaak
van dit verschil is. Wellicht is de huidige omschrijving van de functie van FG vanuit de wet niet
duidelijk genoeg.
Janneke Slöetjes van Bits of Freedom zegt: “Helaas bevat het voorstel een nogal beperkte definitie
van het begrip ‘datalek’. De minister heeft er niet voor gekozen om een belangrijke aanbeveling van
Bits of Freedom voor een bredere definitie over te nemen114. Daardoor worden nu gevallen waarbij
persoonlijke informatie gelekt is zonder dat er sprake is van een inbreuk op beveiligingsmaatregelen
niet als lek gezien. Alleen gevallen waarbij beveiliging is doorbroken, tellen als een lek.”115. Zoals Bits
of Freedom hier aangeeft is er nog een categorie datalekken die momenteel buiten de Meldplicht
Datalekken valt. In toekomstig onderzoek is het interessant om te onderzoeken of dit soort
datalekken inderdaad voorkomt en hoe ernstig deze datelekken zijn. Dat zou kunnen door interviews
bij organisaties en het uitwerken van impactanalyse (bijvoorbeeld Privacy Impact Assessments (PIA)).
De uitkomst van een dergelijk onderzoek kan duidelijkheid bieden over of het nodig is om dergelijke
datalekken onder de Meldplicht Datalekken te laten vallen.
114
Zenger, R. (29 januari 2012). ‘Inbreng consultatie meldplicht datalekken’ [aanbeveling]. Bits of Freedom. Geraadpleegd van https://www.bof.nl/live/wp-content/uploads/20120229-inbreng-consultatie-meldplicht-datalekken.pdf 115
Slöetjes, J.(8 juli 2013). ‘Wetsvoorstel meldplicht datalekken niet waterdicht’. Bits of Freedom. Geraadpleegd van: https://www.bof.nl/2013/07/08/wet-meldplicht-datalekken-niet-waterdicht/
72
Lijst met tabellen en Figuren
Tabellen Tabel 1: Verschillen tussen de Meldplicht Datalekken WBP en de meldplicht uit de TW .................... 30
Tabel 2: Verschillen tussen de Meldplicht Datalekken WBP en de meldplicht incidenten in de WFT . 31
Tabel 3: Verschil tussen de Meldplicht Datalekken WBP en de AVG ................................................... 33
Tabel 4: Verschillen tussen de Meldplicht Datalekken en meldplichten in de V.S. .............................. 35
Tabel 5: Aantal meldingen per onderwijsinstelling en de meest voorkomende soort meldingen....... 48
Tabel 6: Diegene die onderzoek doet per onderwijsinstelling ............................................................. 52
Tabel 7: Degene die de melding aan de AP maakt bij de verschillende instellingen ............................ 53
Tabel 8: De inrichter van de procedure vs. de uitvoerder van de procedure....................................... 55
Tabel 9: Diegene die de afweging om te melden maakt vs. degene die het lek onderzoekt ............... 56
Figuren Figuur 1: Flowchart voor een datalek, beleidsregels Meldplicht Datalekken....................................... 23
Figuur 2: Tijdlijn van opzetten procedure en aanpassen bewerkersovereenkomsten per instelling... 46
Figuur 3: Stappenschema van een interne procedure ......................................................................... 50
73
Appendix
Appendix A: Meldingsformulier beleidsregels Hieronder de gegevens die in de melding moeten worden vermeld zoals vermeld in de bijlage van de
beleidsregels Meldplicht Datalekken zoals gepubliceerd door de Autoriteit Persoonsgegevens op 8
december 2015116.
Deze bijlage bevat de gegevens die u op moet geven als u een datalek meldt aan de Autoriteit
Persoonsgegevens. Bij het formulier zijn de vragen uit bijlage I bij de Europese Verordening
611/2013 als uitgangspunt gehanteerd. Binnen Europa wordt gestreefd naar harmonisatie van de
wijze waarop datalekken in de telecomsector aan de toezichthouder moeten worden gemeld.117 Op
het moment dat dit streven leidt tot concrete resultaten, dan zal de Autoriteit Persoonsgegevens
daar uiteraard bij aansluiten.
Aard van de melding
1) Is dit een vervolg op een eerdere melding? (Kies een van de volgende opties.) a) Ja b) Nee
2) Wat is het nummer van de oorspronkelijke melding? (Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord.)
3) Wat is de strekking van de vervolgmelding? (Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord, kies een van de volgende opties.)
a) Toevoegen of wijzigen van informatie betreffende de eerdere melding
b) Intrekking van de eerdere melding
4) Wat is de reden van intrekking? (Beantwoord deze vraag als u bij vraag 3 gekozen heeft voor optie b.)
Wettelijk kader voor de melding
5) Op grond van welke wettelijke bepaling doet u deze melding?118
a) artikel 34a, eerste lid, van de WBP
b) artikel 11.3a, eerste lid, van de TW
Algemene informatie en contactgegevens
6) Over welk bedrijf of welke organisatie gaat het? (Vul de onderstaande gegevens in.) a) Naam van het bedrijf of de organisatie
b) (Bezoek)adres
c) Postcode
d) Plaats
e) KvK-nummer 7) Door wie wordt het datalek gemeld? (Vul de onderstaande gegevens in.)
116
Beleidsregels Meldplicht Datalekken van de AP Publicatie 15 december 2015. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015 117
Verordening 611/2013, considerans 11. 118
Zie paragraaf 4.1 van de richtsnoeren Meldplicht Datalekken.
74
a) Naam van de persoon die meldt
b) Functie van de persoon die meldt
c) E-mailadres van de persoon die meldt
d) Telefoonnummer van de persoon die meldt
e) Alternatief telefoonnummer van de persoon die meldt
8) Met wie kan de Autoriteit Persoonsgegevens contact opnemen voor nadere informatie over de melding? (Vul de onderstaande gegevens in indien dit iemand anders is dan de melder van het datalek.)
a) Naam contactpersoon
b) Functie van de contactpersoon
c) E-mailadres van de contactpersoon
d) Telefoonnummer van de contactpersoon
e) Alternatief telefoonnummer van de contactpersoon 9) In welke sector is het bedrijf of de organisatie actief? (Kies een van de onderstaande opties.)
a) ...119
Gegevens over het datalek
10) Geef een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan.
11) Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in.) a) Minimaal: (vul aan)
b) Maximaal: (vul aan) 12) Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk.
13) Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan.) a) Op (datum)
b) Tussen (begindatum periode) en (einddatum periode)
c) Nog niet bekend 14) Wat is de aard van de inbreuk? (U kunt meerdere mogelijkheden aankruisen.)
a) Lezen (vertrouwelijkheid)
b) Kopiëren
c) Veranderen (integriteit)
d) Verwijderen of vernietigen (beschikbaarheid)
e) Diefstal
f) Nog niet bekend 15) Om welk type persoonsgegevens gaat het? (U kunt meerder mogelijkheden aankruisen.)
a) Naam-, adres- en woonplaatsgegevens
b) Telefoonnummers
c) E-mailadressen of andere adressen voor elektronische communicatie
d) Toegangs- of identificatiegegevens (bijvoorbeeld inlognaam / wachtwoord of klantnummer)
e) Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer)
f) Burgerservicenummer (BSN) of sofinummer
g) Paspoortkopieën of kopieën van andere legitimatiebewijzen
119
Doel van deze vraag is om mediaberichten en andere signalen over opgetreden datalekken zo goed mogelijk te kunnen matchen met de ontvangen datalekmeldingen
75
h) Geslacht, geboortedatum en/of leeftijd
i) Bijzondere persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens)
j) Overige gegevens, namelijk (vul aan)
16) Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? (U kunt meerdere mogelijkheden aankruisen.)
a) Stigmatisering of uitsluiting
b) Schade aan de gezondheid
c) Blootstelling aan (identiteits)fraude
d) Blootstelling aan spam of phishing
e) Anders, namelijk (vul aan) Vervolgacties naar aanleiding van het datalek
17) Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
18) Heeft u het datalek gemeld aan de betrokkenen of bent u van plan dat te gaan doen? (Kies
een van de volgende opties.) a) Ja b) Nee c) Nog niet bekend
19) Wanneer heeft u het datalek gemeld aan de betrokkenen, of wanneer gaat u dit doen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord. Kies een van de volgende opties en vul waar nodig aan.)
a) Ik heb het datalek aan de betrokkenen gemeld op (datum) b) Ik ga het datalek aan de betrokkenen melden op (datum) c) Nog niet bekend
20) Wat is de inhoud van de melding aan de betrokkenen? (Letterlijke weergave, beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.)
21) Hoe veel betrokkenen heeft u in kennis gesteld of gaat u in kennis stellen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.)
22) Welk communicatiemiddel of welke communicatiemiddelen gebruikt u of gaat u gebruiken bij het in kennis stellen van de betrokkenen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.)
23) Waarom ziet u af van het melden van het datalek aan de betrokkenen? (Beantwoord deze vraag als u vraag 18 met nee hebt beantwoord. Kies een van de onderstaande opties en vul waar nodig aan.)
a) De technische beschermingsmaatregelen die ik heb getroffen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten120
b) Het is onwaarschijnlijk dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, want: (vul aan)121
c) Ik heb zwaarwegende redenen om de melding aan de betrokkene achterwege te laten, namelijk: (vul aan)122
d) Anders, namelijk: (vul aan)
120
Zie paragraaf 7.2 van de richtsnoeren meldplicht datalekken. 121
Zie paragraaf 7.3 van de richtsnoeren meldplicht datalekken. 122
Zie paragraaf 7.4 van de richtsnoeren meldplicht datalekken.
76
Technische beschermingsmaatregelen
24) Zijn de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden?123(Kies een van de volgende opties en vul waar nodig aan.)
a) Ja b) Nee c) Deels, namelijk: (vul aan)
25) Als de persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als u bij vraag 24 gekozen heeft voor optie a of optie c. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.)
Internationale aspecten
26) Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties.)
a) Ja b) Nee c) Nog niet bekend
27) Heeft uw bedrijf of organisatie het datalek gemeld bij toezichthouders in een of meer andere EU-landen?
a) Ja, namelijk: (vul aan) b) Nee
Vervolgmelding
28) Is naar uw mening deze melding compleet? (Selecteer een van de onderstaande opties.) a) Ja, de vereiste informatie is verstrekt en er is geen vervolgmelding nodig b) Nee, er komt later een vervolgmelding met aanvullende informatie over deze
inbreuk
123
Zie paragraaf 7.2 van de richtsnoeren meldplicht datalekken.
77
Appendix B: Meldingsformulier web
78
79
80
81
82
Appendix C: Interview Start Interview
Voorstellen
korte intro over de scriptie
opnemen interview
geheimhouding resultaten interview
LET OP: geen woorden in de mond gaan leggen, doorvragen op antwoorden, geen oordeel leveren!
Algemeen
Met wie is het interview?
Welke organisatie/bedrijf en wat voor soort?
Welke rol/functie?
Organisatie grootte?
Gebruik persoonsgegevens?
Procedures
Kunt u mij vertellen hoe dat bij jullie gegaan is? Wanneer is dat bij jullie in beeld gekomen? Wie
heeft het geïnitieerd? En toen?
Wat is er veranderd in jullie organisatie/policies om te voldoen aan de meldplicht?
Welke dingen waren al in plaats?
Waarom is er gekozen voor die specifieke maatregelen en manier van procedure doen?
Hebben jullie PIA’s uitgevoerd?
Zoja, in welke scope?
Zijn er nog relevante dingen uit deze PIA gekomen?
Hebben jullie deze PIA zelf opgezet en uitgevoerd of een externe partij?
Een datalek
Heeft uw bedrijf al een lek ervaren? Hoeveel?
Wat voor soort meldingen zijn dat?
Hoe vaak is er gecommuniceerd naar de betrokkene?
Hoe is de melding verlopen? (geen details, goed slecht, moeilijkheden? Dingen die efficiënter
kunnen)
Wie is er verantwoordelijk als er een lek is?
En hoe word deze persoon bepaald?
124
Zoals in de beleidsregels van de AP m.b.t. de Meldplicht Datalekken Publicatie 15 december 2015, gewijzigd op 6 juli 2016. Bekeken op 10-10-16
Lay-out meldplicht124
Voorwaardes voor de melding Inbreuk op de beveiliging Inhoud van de melding aan het AP Melding aan de betrokkene Handhaving en Boetebepalingen Verantwoordelijkheid voor de melding Bijhouden register datalekken
83
Hoelang duurt het voordat jullie gemeld hebben?
Is de 72 uur genoeg om door de procedure heen te komen?
Hoe gaat de besluitvorming van wel of niet melden aan de betrokkene?
(Wat zijn jullie richtlijnen om het naar betrokkene te communiceren?)
Is de 72 uur genoeg om door de procedure heen te komen?
Informatieverzameling
Is alle informatie die nodig is om te kunnen melden goed voor handen?
Bijhouden register word volgens NOREA vaak vergeten, hoe is het bij jullie?
Meldingsafweging
Kost t veel tijd?
Kost het beslissen van wel of niet melden veel tijd? -> niet makkelijker om altijd te melden?
Zou het niet makkelijker zijn om altijd niet te melden en dan op aanwijzing van de AP alsnog te
melden? Heb je dan wettelijk iets fout gedaan?
Is mogelijke reputatieschade/financiële schade een factor die meegenomen word in het
beslisprocedure?
Persvoorlichting?
Bewerkers en derde partijen
Hoe gaan jullie daarmee om?
Communicatie AP
Zijn volgens u de richtlijnen van de AP duidelijk genoeg in hoe de beslissing van melding aan de
betrokkene moet lopen?
De beleidsregels van het AP zijn pas op 8 december gepubliceerd, was er voldoende tijd om deze
mee te nemen?
Hebben jullie contact gehad met de AP (dus hebben zij wat laten horen?)
Wat vind je daarvan?
Afronding
Grootste drempels in de implementatie
Overige opmerkingen?
Einde
Bedanken voor interview
84
Appendix D: uitwerking procedures instellingen Dit zijn de uitwerkingen van de procedures van diverse instellingen. Voor een samenvatting en
andere resultaten zie sectie 8.3.6.
Instelling 1.
Meldpunt voor datalek moet een meldpunt zijn waar mensen zich natuurlijk melden. ICT
helpdesk is daaruit gekomen. Alle helpdesks zijn benaderd en mee gepraat als eerste point-
of-entry.
Meldingen die of binnenkomen als datalek, maar ook dat de medewerkers moeten kijken
dat als iemand binnen komt met mijn laptop is gestolen dan moet de medewerker op dat
moment ook zeggen van he dit is een datalek.
Voor de Helpdesk is er een uitvraag formulier gemaakt. Zij geven een dergelijk ingevuld
formulier door aan het CERT (Computer Emergency Respons Team)
CERT is een technisch team, maar zij hebben wel de mogelijkheid om de juridische afdeling
erbij in te schakelen mochten ze dat nodig vinden.
o Word opgepakt door dienstdoende CERT’er of doorgeschoven. Deze persoon maakt
een analyse
o Deze analyse wordt vervolgens in het team besproken. Je moet dat niet te veel aan 1
persoon op te hangen. Toetsing van resultaten word gezamenlijk gedaan. Want het
is het onmogelijk om alle expertises die nodig zijn voor de melding te verenigen in 1
persoon
o Bij t maken van de afweging is het belangrijk om na te gaan wie er verantwoordelijk
is. Dat is soms nog lastig te herleiden.
Advies word voorgelegd aan het CvB en zij maken er een besluit over hoe het afgehandeld
moet worden.
Dit is heel waardevol want ze komen uit het theoretisch kader komen en zien wat er in de
praktijk allemaal gebeurd. Dat heeft bij het bestuur voor een hoop awareness gezorgd wat in
return weer makkelijker word om de organisatie in beweging te krijgen.
Het CERT handelt dan ook weer de melding bij de AP af.
Melding wordt niet altijd door 1 specifiek persoon gedaan want dat kan niet i.v.m. het altijd
aanwezig zijn.
Winst: elk datalek heeft een oorzaak en kan dus voor verbeterpunten zorgen. En dat is naar het idee
van de Security Officer ook het hoofddoel van de wet
Instelling 2.
Meldingen komen binnen bij servicedesk. Hier is voor gekozen omdat dat het normale kanaal is.
Servicedesk werkt een vragenlijst af, mocht daar uitkomen dat het een datalek is word het
doorgegeven aan Security Officer/FG en juristen.
Security Officer dicht het lek of blokkeert emailadressen etc. en bekijkt hoe het voortaan voorkomen
kan worden.
85
De Security Officer/FG en de juristen maken de afweging en eventueel melding. De reden hiervoor
is dat het om privacywetgeving gaat en de juristen ook verantwoordelijk zijn voor de privacy
overeenkomsten en dus veel verstand van de wetgeving. De Security Officer/FG kijkt alleen mee
vanuit een toezichthoudende rol. Voor eventuele technische vragen kan men terecht bij de IT
afdeling.
Mocht het ernstig zijn (ernstig in deze afgewogen door de Security Officer en juristen op basis van of
het in de media kan komen) dan wordt het crisisteam ingeschakeld. Die maken eventueel een
statement naar de pers
Instelling 3.
Servicedesk 24/7
Gekozen omdat er geen nieuwe dingen ingezet willen worden. Servicedesk mensen hebben al skills.
ook bewerkers komen daar binnen. Hebben een geautomatiseerde vragenlijst
FG en de Security Officer kijken samen wat is er aan de hand
Afhankelijk van ernst => calamiteitenplan
Informatie verzamelen en terug naar de melding
Als t een meldplichtig datalek zou kunnen zijn dan komt er een team bij elkaar
Team bestaat uit persvoorlichting, Security Officer, FG, jurist, iemand uit de calamiteitenorganisatie
en melder
Beslist of correctieve actie ondernemen en melding AP en melding betrokkene
Mocht het datalek ervoor zorgen dat het primair functionele proces geraakt wordt dan wordt het
opgeschaald naar de calamiteitenorganisatie en nemen die het over. Die hebben ook bevoegdheden
om activiteiten, systemen etc. stil te leggen.
Security Officer en FG vanwege kennis
Melder omdat die weet wat er gebeurd is en ook weet wat voor informatie t is
Juristen kijken naar de materie anders
Persvoorlichters omdat die dan weten wat ze moeten gaan vertellen. Ook omdat het kan zijn dat t
iets is wat wij niet als eerste ontdekken, maar wat dus van buitenaf komt
Dat geld ook voor de calamiteitencommissie, die kunnen signalen vanuit justitie oppikken en zijn
heel goed in bekijken wat een dergelijke lek voor de organisatie kan betekenen en of er dan iets
moet gebeuren. Zij hebben ook bevoegdheden om bepaalde dingen in gang zetten. Voorbeeld dat er
een usb stick kwijt was en dat er aan de wasserette gevraagd was of er iets gevonden was. Die
reageren toch anders als de beveiliging komt vragen dan als er een iemand anders langs komen. Is
een stukje opschaling.
86
Instelling 4.
Melding komt binnen bij Servicedesk, wordt door geschoven naar CERT
CERT team (onderdeel van Servicedesk) doen onderzoek en beslissen of t een datalek is en gemeld
moet worden. CERT geeft advies aan FG en FG beslist dan hoe ernstig t is in theorie. Er is momenteel
geen FG. CERT doet dan ook de melding. CVB wordt op de hoogte gesteld.
Praktijk en theoretisch proces lopen hier door elkaar. In theorie zou er overlegd moeten worden met
de FG, deze is echter nog niet aanwezig.
Instelling 5.
Samen met incidentmanager. Incident proces gebruiken, want daar zijn altijd al mensen beschikbaar.
Ook bevoegdheden al beschikbaar en beheertools. Meldpunt ingericht.
Melding komt binnen bij support centrum (want al een bestaand en bekend nummer)
- Supportcentrum maakt eerste selectie (op basis van vragenlijst)
- informatiebeveiliging, FG/Security Officer, informatie analist (ook infobeveiliging), want
materiedeskundigheid.
Belangrijkste is eerst maatregelen nemen. Eerst incident oplossen en mitigerende maatregelen
nemen. Onderzoek uitzetten. Daarna bepalen of het ge-escaleert wordt richting een melding
Regiegroep. FG/Security Officer, jurist (CVB adviseur, stafdirecteur informatisering, persvoorlichter.
Bepalen melding. Stellen advies op aan CVB
Evt. door escaleren naar een crisisteam.
Door naar CVB
Secretariaat CVB doet melding aan AP.
FG moet toezicht houden, dus doet daarom niet de melding.
Instelling 6.
Hoe willen we dat t binnenkomt. Niet bij een persoon binnenkomen, want die kan altijd met
vakantie zijn. Makkelijkste is een emailadres. Email komt binnen bij CERT-team. Mensen met
interesse in security. Allemaal technische mensen.
Gekozen voor email omdat dan de lijn korter is, en t niet nog via een service desk gaat. En tijdsdruk.
Ook vanwege de expertise van mensen, je wilt niet dat iemand die er toch weinig verstand van heeft
zegt “tis wel goed” en dat t dan achteraf toch niet goed was.
Als melding binnen komt wordt er iemand aangesteld die de leiding neemt (security manager, of zijn
vervanging)
Vooraankondiging bellen en mailen aan juridische afdeling, want dan weten zij dat er misschien wat
aankomt
87
Analyse, CERT + eigenaar van de dienst. Er wordt een combinatie gezocht van mensen die ook
verantwoordelijk zijn voor die diensten, zij hebben er immers t meest verstand van.
- zijn er ook persoonsgegevens bij betrokken?
Als lek blijkt dan doorsturen naar juridische zaken. Zij maken samen met het CVB de afweging om te
melden of niet zowel aan AP als aan betrokkene. Dat is zo afgesproken. Zij zitten ook naast t CVB.
Samen met systeemeigenaar kijken daarna naar eventuele verbetermaatregelen.
CVB bepaald ook of er naar de pers gecommuniceerd word.
Instelling 7.
Min mogelijk nieuwe rollen creëren.
Incidenten moeten gemeld worden bij servicedesk ICT, want rollen en best bereikbaar.
Entry in systeem + bellen informatie manager.
Gesprek aangaan met eigenaar systeem
Eerst brand blussen dan onderzoek
Team vormen afhankelijk van t soort systeem etc. Infomanager + team + evt. ICT + leverancier +
juridische zaken. Personen die t meeste te maken hebben met t lek. Eigenaar heeft ook functioneel
beheer en kent het systeem het beste. IT vanwege de technische expertise en juristen vanwege
juridische expertise.
Onderzoek.
Team bepaald of er gemeld gaat worden
Elke keer opnieuw de informatie vanuit AP bekijken omdat deze elke keer veranderd.
Persoon die meldt nog niet bepaald (waarschijnlijk informatie manager of eigenaar systeem)
Als er gemeld moet worden, dan wordt t ook gemeld aan CVB en aan persvoorlichter.
Instelling 8.
Melding bij CERT, die sturen alleen door. CERT speelt ook grote rol in de detectie van datalekken.
onderzoekt, stabiliseert. Of direct naar Security Officer.
Binnen bij Security Officer. Wie heeft dit gedaan? Bekijkt is dit een datalek?
Persoon aangesproken.
Rapport aan CVB, besluit of er gemeld gaat worden.
Eventueel aangifte doen bij politie.
Kwijtraken van telefoons moet gemeld worden bij facilitair. Maar die hebben geen link aan de
datalekprocedure.
88
Heel erg bezig met uitzoeken wie het gedaan heeft en hoe daar verbetering in gebracht kan worden.
Voornamelijk ook omdat de meeste van de beveiligingsincidenten van binnenuit komen (vanuit
studenten)
Tussentijds beleid. Wachten beleid van ondersteunende instellingen af.
Top Related